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LDITORIAL 


NO HAY MAL QUE POR BIEN NO VENGA... 


Hace poco publicamos un artículo que fue criticado de 
forma muy positiva por nuestros lectores: Hackear 
Windows en 40 segundos. La verdad, ese tipo de artículos 
pertenecen al tipo “hackear sin saber”. 


Pero los lectores mandan y por mucho que nosotros nos 
esforcemos en ENSENAR y vosotros en aprender, debemos 
reconocer que también hay que divertirse, así que este 
mes podrás leer otro de estos artículos. Esta vez 
crackearemos el regedit.exe (programa que utiliza Windows 
para acceder al registro), pero aprenderemos mucho más 
que con el publicado anteriormente. 


Por primera vez trabajaremos con un desensamblador y 
un editor hexadecimal, y lo haremos sin grandes esfuerzos 
(prometido). 


Este mes hemos impregnado varios artículos de TCP/1P, 
pero no hay un artículo completo dedicado al tema porque 
nuestro colaborador encargado del curso ha tenido que 
ausentarse por causas mayores. Tranquilos, el mes que 
viene estará de nuevo con nosotros. 


Y no hay mal que por bien no venga, prepárate porque 
llega un nuevo curso MUY INTERESANTE. Te 
presentamos el SNORT. Si no sabes lo que es, ya puedes 
empezar a leer la revista :) 


Y no me despido sin antes hacer un comentario que quizás 
te venga muy bien si estás pensando en comprar un monitor 
TFT. Hace unos días tuve que aguantar perplejo como un 
vendedor de hardware intentaba vender un monitor TFT 
de 20 pulgadas con una resolución de 1280*1024. 


Un TFT de 20 pulgadas, entre otras cosas debe tener una 
resolución de 1600*1200. No exijas menos... lastima que 
en esta revista no tratamos temas de hardware... ¿a quien 
se le ocurre fabricar un 20 pulgadas a 1280*1024? Como 
mínimo es una tomadura de pelo. 


Bueno, que me extiendo demasiado. Gracias de nuevo a 

todos los colaboradores, a AZIMUT que está poniendo un 
poco de orden en el CAOS y a los moderadores del foro 

que hacen todo lo posible por mantener un espacio donde 
reunirse y resolver dudas. 


GRACIAS UNA VEZ MÁS. 
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- Intercambio de Información entre programas: Ya hemos tratado los semáforos y la 


memoria compartida. 


- Este mes le toca el turno a las "Colas de Mensajes”. 


1. Presentación 


Las colas de mensajes, junto con los 
semáforos y la memoria compartida serán 
los recursos que ponen a nuestra disposición 
los sistemas UNiX para que los programas 
puedan intercambiar información entre sí. 


2. Colas de Mensajes. 


Una cola será una estructura de datos 
gestionada por el núcleo, donde van a poder 
escribir o leer varios procesos. Los mecanismos 
de sincronismo para que no se produzca 
colisión serán responsabilidad del núcleo. 


Obsérvese que en el número pasado, al 
manejar memoria compartida, el propio 
programador tenía que gestionar la 
sincronización entre los procesos que accedían 
a la memoria compartida. En este caso, esto 
ya no es así: Será el sistema (núcleo del 
S.O.) el encargado de realizar esta tarea, 
pudiéndonos concentrar más en tareas de 
comunicación entre procesos que de 
concurrencia. 


El manejo de colas de mensajes permite que 
dos procesos distintos sean capaces de 
enviarse mensajes (estructuras de datos que 
serán tratadas como un todo indivisible) y de 
esta forma pueden intercambiar información. 


El mecanismo para conseguirlo es el de una 
cola de mensajes. Los procesos introducen 
mensajes en la cola y se van almacenando 
en ella. Cuando un proceso extrae un mensaje 
de la cola, extrae el primer mensaje que se 
introdujo y dicho mensaje se borra de la cola. 
A esta forma de comportarse una cola, y lo 
que la define, se le conoce como FIFO (First 
Input, First Output, Primero en entrar, Primero 
en Salir). 


PC PASO A PASO N* 19 


También es posible hacer "tipos" de mensajes 
distintos, de forma que cada tipo de mensaje 
contiene una información distinta y va 
identificado por un entero. Por ejemplo, los 
mensajes de tipo 1 pueden contener el saldo 
de una cuenta de banco y el número de dicha 
cuenta, los de tipo 2 pueden contener el 
nombre de una sucursal bancaria y su calle, 
etc. 


Los procesos luego pueden retirar mensajes 
de la cola selectivamente por su tipo. Si un 
proceso sólo está interesado en saldos de 
cuentas, extraería únicamente mensajes de 
tipo 1, etc. Ni que decir tiene que si tenemos 
varios procesos que leen de una cola, el tipo 
de mensaje nos puede servir para que un 
determinado tipo de mensajes sea sólo 
atendido por un proceso concreto y el resto 
ignorado. 


Tras resaltar esto último, una pequeña 
aclaración: Es posible hacer que un proceso 
que lea de la cola pueda especificar que desea 
leer mensajes independientemente de su tipo. 


2.1. Solitud de una Cola de 
Mensajes 


La primera operación que debemos aprender 
es la necesaria para solicitar una cola de 
mensajes. La manera de hacer esto es 
mediante la función: 


*tinclude <sys/types.h> 
+Hinclude <sys/ipc.h> 
+Hinclude <sys/shm.h> 


int msgget(key_t key, int shmflg); 


Retorna: -1 en caso de error, o el identificador 
de la cola creada en otro caso. 
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El primer parámetro, key de tipo Clave, 
funciona tal y como se explicó en anteriores 
números, siendo su objetivo el de proporcionar 
al sistema un identificador común para los 
recursos IPC que están siendo utilizados por 
un grupo de procesos que acceden 
conjuntamente a un recurso IPC. 


Una vez obtenida la clave, se crea la cola de 
mensajes. Para ello está la función mostrada 
msgget. Con dicha función creamos la cola y 
nos devuelve un identificador para la misma. 


Si la cola correspondiente a la Clave key ya 
estuviera creada, simplemente nos daría el 
identificador de la misma (siempre y cuando 
los parámetros no indiquen lo contrario). 


El segundo parámetro son unos flags. Aunque 
hay más posibilidades, lo imprescindible es: 


b 9 bits menos significativos, son permisos 
de lectura/escritura/ejecución para 
propietario/grupo/otros, al igual que los 
ficheros. Para obtener una cola con todos 
los permisos para todo el mundo, debemos 
poner como parte de los flags el número 
0777. 


Es importante el cero delante, para que el 
número se interprete en octal y queden los 
bits en su sitio (En C, cualquier número que 
empiece por cero, se considera octal). El 
de ejecución no tiene sentido y se ignora. 


b IPC_CREAT. Junto con los bits anteriores, 
este bit indica si se debe crear la cola en 
caso de que no exista. 


Si está puesto, la cola se creará si no lo 
está ya y se devolverá el identificador. Si 
no está puesto, se intentará obtener el 
identificador y se obtendrá un error si no 
está ya creada. 


En resumen, los flags deberían ser algo así 
como 0777 | IPC_CREAT 


El identificador devuelto por msgget será 
heredado por los procesos descendientes del 
actual. 


| 


Bl 


Para crear una cola de mensajes podemos emplear un 
código como el siguiente: 


int msgid; 
key_t clave; 


clave = ftok ("archivo”,'M”); 
if ((msqid = msgget(clave, IPC_CREAT | 0600 )) == -1) 


a 
fprintf(stderr, " ERROR al crear cola de mensajes|n"); 


2.2. Control de las colas de mensajes. 


Una vez que hemos creado una cola de mensajes, podemos 
realizar diversas operaciones de control sobre dicha cola 
con el fin de establecer distintos atributos de la misma u 
obtener diversa información estadística. Estas operaciones 
de control las realizará la función msgctl. 


La declaración de esta función es: 


Hinclude <sys/types.h> 
ttinclude <sys/ipc.h> 


include <sys/msg.h> 


int msgctl(int msqid, int cmd, struct msqid_ds *buf); 


Retorna O en caso de éxito y -1 en caso de error. 


msgid es el identificador de cola sobre el que vamos a 
operar. 


cmd es la operación de control que queremos realizar. Este 
parámetro puede tomar los siguientes valores: 


b IPC_STAT Lee el estado de la estructura de control de 


la cola y lo devuelve a través de la zona de memoria 
apuntada por *buf. La estructura de esta zona de memoria 
es: 
/* Structure of record for one message inside the kernel. 
The type "struct msg' is opaque. */ 
struct msqid_ds 


Y 
1 


struct ipc_perm msg_perm),  /* structure describing operation permission */ 
_ time_tmsg_stime; 
unsigned long int __ unusedl; 
_ fime_tmsg _rtime; 
unsigned long int __ unused2; 
__time_tmsg ctime; /* time of last change */ 
unsigned long int __ unused3; 
unsigned long int _ msg _cbytes; /* current number of bytes on queue */ 
msgqnum_tmsg_qnum; 
msglen_tmsg qbytes; 
_ pid tmsg_lspid; 


/* time of last msgsnd command */ 


/* time of last msgrcv command */ 


* number of messages currently on queue * 


* max number of bytes allowed on queue *; 


/* pid of last msgsnd() */ 
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_ pid tmseg lrpid; /* pid of last msgrcv() */ 
unsigned long int __ unused4; 


unsigned long int __ unused5; 
E 
struct ipc_perm f 
key_t key; 
ushort uid; /* owner euid and egid */ 
ushort gid; 
ushort cuid; /%* creator euid and egid */ 
ushort cgid; 
ushort mode; /* lower 9 bits of access modes */ 
ushort seg; /* sequence number */ 
04 
b IPC_SET Inicializa algunos de los campos de la estructura 
de control de la cola. El valor de estos campos se toma 


de la estructura referenciada por *buf. 


b TPC_RMID Elimina el sistema de cola de mensajes 
asociado al identificador msgid. Si la cola está siendo 
usada por varios procesos, no se elimina hasta que todos 
los procesos liberen la cola. 


2.3. Operaciones con colas de mensajes 


Para poder usar una cola de mensajes, las operaciones 
básicas que realizaremos serán escribir y leer mensajes. 
Para realizar estas operaciones disponemos respectivamente 
de las funciones msgsnd y msgrcv: 


Hinclude <sys/types.h> 
Hinclude <sys/ipc.h> 
Hinclude <sys/msg.h> 


int msgsnd(int msqid, struct msgbuf *msgp, size_tmsgsz, int msgflg); 
ssize_t msgrev(int msqid, struct msgbuf *msgp, size_tmsgsz, long msgtyp, int msgflg); 


En ambas funciones msqid se corresponde al identificador 
de la cola sobre la que vamos a operar. 


msgp es un puntero que señala la zona de memoria donde 
están o donde queremos recibir los datos que se enviarán 
O leerán de la cola. La composición de esta zona de memoria 
es definida por el usuario mediante una estructura de 
datos. La única restricción que se impone es que el primer 
campo sea de tipo long, siendo su funcionalidad la de 
identificar el tipo de mensaje. 


msgsz será el tamaño en bytes del mensaje que queramos 
enviar o recibid. Ojo: En este tamaño no se incluyen los 
bits que ocupa el campo long antes descrito (el tipo de 
mensaje). 
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msgtyp sólo aparece en la llamada de lectura 
y especifica el tipo de mensaje que queremos 
leer. Puede tomar los siguientes valores: 


b msgtyp = 0 Leer el primer mensaje que 
haya en la cola. 


b msgtyp > O Leer el primer mensaje de tipo 
msgtyp que haya en la cola. 


b msgtyp < O Leer el primer mensaje cumpla 
que su tipo es menor o igual al valor absoluto 
de msgtyp y a la vez sea el más pequeño 
de los que hay. 


msgflg es un mapa de bits que tiene distinto 
significado dependiendo de que estemos 
utilizando la función msgsnd o msgrcv: 


b Para el caso de escritura en cola (msgsnd), 
si la cola está llena: 


b IPC_NOWAIT: Si activamos este bit, la 
llamada de a msgsnd devolverá el control 
inmediatamente retornando -1. 


b IPC_NOWAIT: Si no activamos este bit, 
el proceso suspende su ejecución hasta 
que haya espacio libre disponible en la 
cola.. 


b Para el caso de lectura desde la cola 
(msgrcv), si la cola está vacía: 


b IPC_NOWAIT: Si activamos este bit, la 
llamada de a msgsnd devolverá el control 
inmediatamente retornando -1. 


b IPC_NOWAIT: Si no activamos este bit, 
el proceso suspende su ejecución hasta 
que haya un mensaje del tipo disponible 
en la cola. 


En el caso de que todo funcione correctamente, 
msgsnd devuelve O y msgrcv el número de 
bytes recibidos sin incluir los bytes del tipo de 
mensaje. 


Veamos cuales serían las líneas de código 
necesarias para enviar y recibir un mensaje 
de tipo 1 compuesto de 20 caracteres: 
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int msqid; 
struct 
( 
long tipo; 
char cadena[ 20); 


jmensaje; 


/* Debemos de quitar el tamaño del tipo */ 
int longitud = sizeof(mensaje) - sizeof(mensaje.tipo); 


/* Envío del mensaje */ 

mensaje.tipo=-1; 

strcpy(mensaje.cadena, 2HOLA"); 

if(msesnd(msqid, S£mensaje, longitud, 0)==-1) 


y 
1 


hu 


/* error */ 


/* Recepción del mensaje */ 
if(msgrcv(msqid, mensaje, longitud, 1, 0)==-1) 


Perror*/ 


2.4. Ejemplo de uso 


El presente ejemplo está basado en uno 
similar sacado del libro "UNIiX, programación 
avanzada, Ed. Ra-Ma" de Fco. Manuel 
Márquez. La razón de ello, como pronto se 
verá, es que es una aplicación bastante 
completa y a la vez sencilla, utilizando al 
máximo las capacidades del tema expuesto 
hoy. 


Este ejemplo está disponible de manera 
gratuita para el público en la página de la 
editorial Ra-Ma. Me he permitido modificar 
partes del código y añadir comentarios para 
que dicho ejemplo sea coherente con los visto 
en el presente curso, manteniendo en 
cualquier caso el interés didáctico que el autor 
original supo plasmar en él. 


El ejemplo pretende ilustrar la construcción 
de un DBM (Data Base Manager) de manera 
que pueda gestionar los distintas tareas que 
le mandan hacer distintos usuarios (programas 
clientes) de una minimalista base de datos. 


Dicho gestor se comunicará directamente con 
la base de datos. En nuestro caso será un 


simple archivo binario que deberemos especificar por línea 
de comandos cuando arranquemos el gestor y sobre el 
que escribirá y leerá directamente. 


Para comunicarse con el gestor se utilizarán dos colas: 
Una llamada cliente-gestor será la empleada para que los 
clientes envíen mensajes al gestor, y otra llamada gestor- 
clientes para que el gestor se comunique con los clientes. 


Este funcionamiento se muestra en el siguiente esquema: 


Archivo de definición de tipos y constantes (datos.h): 


y 
* FICHERO: datos.h 
* 

* DESCRIPCIN: 


* Fichero de cabecera com=n para los clientes y DBM de la base de datos. 
* 


RR ERA AAA RR AAA 
tifndef_DATOS_H_ 
define _DATOS_H 


/** Creamos un tipo de datos para almacenar los datos 
* de una persona. 
cl 

typedef struct 


S 
1 


char nombre[61]; 

char direccion[121]; 

char telefono[ 11]; 
jpersona ; 


/** Creamos un tipo de datos para almacenar los datos 
* de un mensaje. 
*/ 

typedef struct 


S 
1] 


long pid; 
int orden; 
union 
f 
persona una_persona; 
jdatos; 
jmensaje; 


define LONGITUD (sizeof(mensaje) -sizeof(long)) 
/** Comandos para el DBM */ 

tdefine LISTAR 1 

tidefine ANADIR 2 

tidefine FIN 3 

fdefine ERROR 4 


define FICHERO_CLAVE "datos.h" 
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Hdefine CLAVE CLIENTE GESTOR 'K' 
Hdefine CLAVE GESTOR CLIENTE 'L' 


Hendif 


Gestor (gestor.c): 


tinclude <stdio.h> 
tinclude <sys/types.h> 
Hinclude <sys/ipc.h> 
tinclude <sys/msg.h> 
ttinclude "datos.h" 


int main(int argc,char *argv[]) 


d 


int cola cg, cola gc, funcionando=1; 
mensaje un_mensaje; 

key_t clave; 

FILE  *base_de datos; 


/* Como este programa recibe datos desde la 
* Iznea de comandos, tenemos que verificarlos 
*/ 
iflargc != 2) 
d 
fprintf(stderr, "Forma de uso: %s fichero.|n",argv[0]); 
return -1; 


/* Creacion de las colas de mensajes (ver documentacian 
* adjunta en el art-culo) 
je 
clave=ftok(FICHERO_CLAVE, CLAVE _CLIENTE GESTOR); 
if((cola_cg=msgget(clave, IPC CREAT|0666))==-1) 
a 
Jprintfístderr, "Error al crear la cola CLIENTE-SERVIDOR”); 
return -1; 


clave=ftok(FICHERO_CLAVE, CLAVE GESTOR CLIENTE); 
if((cola_gc=msgget(clave, IPC _CREAT|0666))==-1) 
É 
Jprintfístderr, "Error al crear la cola SERVIDOR-CLIENTE”); 
return -1; 


JE 
* Comienza el servicio del GESTOR. Nos limitamos a mirar si hay 
* cosas que leer de la cola CLIENTE-SERVIDOR y si es as 
* actuaremos en consecuencia. 
e) 
while(funcionando) /* Este proceso dura indefinidamente */ 
d 
/* Obs=rvese que no activamos el bit el bit IPC_NOWAIT 
* Esto quiere decir que si no hay nada que leer de la cola 
* esperamos a que lo haya. 
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ed 
msgrcv(cola_cg, £«un_mensaje, LONGITUD, 0, 0); 


/* Una vez le=do un mensaje, tendremos que atender a lo que 
* nos manda hacer*/ 


/* Listar la base de datos que estar almacenada en el fichero 
* que hemos pasado por l=nea de comandos */ 
ifíun_mensaje.orden == LISTAR) 
el 
/* Si el fichero de base de datos no se puede leer... */ 
ifí(base_de datos=fopen(argv[1],"r"))==NULL) 
dl 
/* Imprimimos en la salida est=ndar de error 
* que ha ocurrido esto 
e 
Jprintf(stderr,"GESTOR listar: error al abrir el fichero de bases de datos”); 
/* Informamos al cliente de lo que ha sucedido */ 
un_mensaje.orden=ERROR; 
msgsnd(cola_gc, «un_mensaje, LONGITUD, 0); 
y 
else 
[ 
/* Realizamos un listado, enviando al cliente todos 
* los registros de la base de datos 
a 
while(fread(8am_mensaje.datos.una_persona, sizeof(persona), 1, base_de_datos)==1) 


f 


msgsnd(cola_gc, £«un_mensaje, LONGITUD, 0); 

Ñ 

felose(base_de_ datos); 

/*Preparamos un mensaje especial para envi=rselo 
* al cliente con el fin de indicarle que se ha 
terminado el listado. */ 

un_mensaje.orden=FIN; 

msgsnd(cola_gc, «un_ mensaje, LONGITUD, 0); 


else 


if(un_mensaje.orden==ANADIR) 
[ 
if (base_de_datos=fopen(argv[1],"a") )==NULL )f 
Jprintf(stderr, "GESTOR a=adir: error al abrir el fichero de bases de datos|n"); 
un_mensaje.orden=ERROR; 
msgsnd(cola_gc, «un_mensaje, LONGITUD, 0); 
y 


else 


( 


Ffwrite(£un_mensaje.datos.una_persona, sizeof(persona), l,base_de_datos); 
fclose(base_de_ datos); 

un_mensaje.orden=FIN; 
msgsnd(cola_gc,£«un_mensaje, LONGITUD, 0); 


) 


else 


dl 
iflun_mensaje.orden==FIN) 


f 
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Programación bajo LINUX - Colas de mensajes - Progra 


/* Tenemos que apagar todo esto */ 
msgctl(cola_gc,IPC_RMID, NULL); 
msgctl(cola_cg, IPC _RMID, NULL); 
funcionando=0; 


printf("n Programa Gestor parado a petici=n del clienteln"); 


/ 
else 
( 
/* =una opci=n desconocida? */ 
un_mensaje.orden=ERROR; 
msgsnd(cola_gc,£un_mensaje, LONGITUD, 0); 
1 
/ 
/ 
/ 
return 0; 


Cliente (cliente.c): 


include <stdio.h> 
tinclude <sys/types.h> 
include <sys/ipc.h> 
Hinclude <sys/msg.h> 
include "datos.h" 


int main(int argc, char *argv[]) 


f 


int cola_gc, cola_cg, pid; 
char opcion, minibuf[2]; 
mensaje un_mensaje; 

key_t clave; 

enum (NO, SI) recibir = NO; 


/* Creacion de las colas de mensajes */ 
clave = ftok(FICHERO_CLAVE, CLAVE CLIENTE GESTOR); 
ifí(cola_cg=msgget(clave,0666))==-1) 
[ 
fprintf(stderr, "CLIENTE %i: error creando cola_cg",getpid()); 
return -1; 
y 
clave = ftok(FICHERO_CLAVE, CLAVE GESTOR CLIENTE); 
ifí(cola_gc=msgget(clave,0666))==-1) 
E 
fprintf(stderr, "CLIENTE %i: error creando cola_gc",getpid()); 
return -1; 


E 


un_mensaje.pid = pid = getpid(); 
while(1) 
a 
printf("Ordenes:|n"); 
printf("l - Listarlin"); 
printf("a - Azadirin"); 
printf("f- Finn"); 
printf("s -Salirin"); 
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l 


l 


m 


printf("tOrden: "); 
scanf("%s",minibuf); 
opcion=minibuf[0]; 


iflopcion=="1') 
] 
/* Esta orden producir= una respuesta por parte 
* del servidor. Nos preparamos para recibir datos. 
*) 
recibir=Sl; 
un_mensaje.orden = LISTAR; 
msgsnd(cola_cg,£un_mensaje, LONGITUD, 0); 
) 
else 
E 
iflopcion=="a') 
E 
recibir=5I; 
printf("tNombre: "); 
scanf("%s",un_mensaje.datos.una_persona.nombre); 
printf("iDireccion: "); 
scanf("%s",un_mensaje.datos.una_persona.direccion); 
printf("itTel-fono: "); 
scanf("%s",un_mensaje.datos.una_persona.telefono); 
un_mensaje.orden=ANADIR; 
msgsnd(cola_cg, £un_mensaje, LONGITUD, 0); 
el 
else 
e 
iflopcion=="f) 
a 
recibir=NO; 
un_mensaje.orden=FIN; 
msgsnd(cola_cg, £kun_mensaje, LONGITUD, 0); 
, 
else 
a 
iflopcion=='s') 
t 


) 


else 


l 


return 0; 


recibir = NO; 
printf("Opcisn [%c] err=nealn", opcion); 


) 


ee 
* Si nos hemos preparado a recibir algo, tenemos que 
* mirar si en la cola hay algo para nuestro cliente 
dd 
if(recibir==SI) 
( 
do 
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Programación bajo LINUX - Colas de mensajes - Programación k 


y 
* Fajense en que ahora s-lo queremos 
* leer los mensajes del tipo de nuestro 
* cliente, por ello pasamomos como par=metro el PID 
Ed 
msgrcv(cola_gc, £un_mensaje, LONGITUD, pid, 0); 
if(un_mensaje.orden==LISTAR) 


/* Hay que imprimir esto */ 
printf("n Registro: %s %s %s in", un_mensaje.datos.una_persona.nombre, 
un_mensaje.datos.una_persona.direccion, 


un_mensaje.datos.una_persona.telefono); 


) 


else 


t 
if(un_mensaje.orden==ERROR) 


printf("n Mensaje de error recibido desde el servidorln"); 
jelse 
ji 
1 
if(un_mensaje.orden==FIN) 
printf("---n"); 
else 
y 
E 
printf("Se recibi un mensaje desconocido|n"); 
/ 


pwhile((un_mensaje.orden!=FIN) ££ (un_mensaje.orden!=ERROR)); 


Dominios sin letra pequeña 


Tu propio dominio por sólo 18,95 € por un año”, 


con todo incluido: 


- IVA incluido 
com * Panel de control 
.net * Redirección a tu página WEB con META-TAGS 
Org * Redirección de email 
info * Gestión completa de DNS: 
bi apunta a la IP de tu conexión 
DE * Bloqueo antirrobo 
* Sin letra pequeña: 18.95 IVA Incl (16.34 + IVA 16%). Precio para 


un año de registro extensiones .com, .net, .org, .info, .biz . 
Precios menores contratando varios años. 


domiteca 
www.domiteca.com 


Precios especiales para distribuidores; consúltanos. 
DOMITECAO es un servicio ofrecido por HOSTALIA INTERNET S.L. 


NY 
Y 


ISO 


a 


- ¿uweres jugar GRATIS por Internet con la XBOX? 


- Descubre el RKBCONNECT 


- Crea Partidas por Internet e Inuta a tus Amigos. 


Saludos compañeros, aquí estamos un mes 
más. Este mes os voy a enseñar a jugar 
online GRATIS, pero quiero que quede claro 
que no vamos a piratear el servicio XBOX 
LIVE, sino que vamos a usar un programa 
alternativo. No es tan bueno como el Live, 
pero está muy bien. 


Lo que necesitamos: 


bConsola Xbox -El mod chip es 
opcional, pero es necesario si queréis 
jugar con copias de seguridad ;) 
PPC con tarjeta de red o Router. 
b Conexión de banda ancha (ya sea 
ADSL o Cable). 

PXBCONNECT ultima versión. 
> Un juego compatible con este método. 


Como ya he explicado en los números 
anteriores, hace falta conectividad de Xbox 
a PC, sin esto no será posible jugar online. 


Nos vamos a la Web oficial de Xbconnect 
(http://www.xbconnect.com) y nos 
descargamos la última versión, lo siento por 
los usuarios de linux, pero de momento no 
esta el programa para el SO del Pinguino. 


El programa también encontrarás en la Web 
de la revista (www.hackxcrack.com), en la 
sección Artículos liberados y Descargas 


Hay dos versiones del ... 


Hay dos versiones del programa, el Normal (gratis) y el PRO 


(de pago), la verdad es que no sé qué diferencia hay si pagas por 


el pro, pero la versión normal va muy bien. 
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Mientras está bajando el programa, nos fijamos 
en el lado derecho de la Web y veremos los 
juegos compatibles con este método. 


Como vemos en la lista, todos los juegos 
tienen algo en común: todos tienen la 
posibilidad de jugar en red local. Pues gracias 
a eso y al Xbconnect podemos hacer eso 
mismo, pero a través de Internet. 


Ahora que ya sabemos cómo funciona el 
sistema, vamos a instalar el programa: 


La instalación es muy sencilla, damos a Next 
hasta que se acabe la instalación :) 


Arrancamos el programa y veremos la primera 
pantalla. 


XBComect introduction 


CcCommEcrT 
There ate a few easy steps to perform, then you'll be ready to play with players around the world. 


1. Hook yc 
2 Mak 


3. Tum on yo! a syste a e Halo he system link menu and tell 
Once ou are 1ear 


of the time that can help with your 
land yc 'aken there, 


Pues nada, pinchamos en el OK. 
Acto seguido veremos la siguiente pantalla 


donde se nos pregunta en perfecto Ingles si 
deseamos crear una nueva cuenta. 
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Xbox Live - Jugando online grátis - Xbox Live - Jugando online grátis - Xbox Live 


- nos pide que nos tomemos unos segundos 
SOT para actualizar nuestro perfil... ... llegando a 
la siguiente pantalla. 


Update your profile 


o Would you like to create a new account? 


SHAKA_7XB 


If you are new to XBConnect then click 'Yes' 


mr. 


AIM /MSN ICA PSA 


7 Ayetar (90 x 90) 
MP file and formatted 
ominyavatar jpg 


ke: y 


Same format as above 


CON 
Si no tenemos una cuenta creada A 
anteriormente, pulsaremos el botón YES. 


E Counter Strike 


Acto seguido nos saldrá un formulario que 
deberemos cumplimentar. 


Lo único que debemos hacer ahora es 
seleccionar los juegos que tenemos, aceptamos 

To get started, we need to create a user profile for you. this will help identify you online and help your buddies find ] Ñ 

so Ifyou already have a profile, press the back button y llegaremos a la pantalla principal del 

Er - programa. 


Profile Information 


Allow people to see my online 


Country 
State Allow others to s: 
PAL 
3/2/3 — SpirterCes! ALL 
10/1/2  DesdMans? ALL 
da_boss75 3/0/14 — ProRaceDri ALL 
anoopybaby 10/1/2  Amped2 ALL 
e invertighlana 3/3/14 ReimbowS ALL 


Una vez rellenamos los datos que nos pide 
pulsaremos el botón NEXT. Nos aparecerán 
un par de ventanitas de confirmación y 
finalmente llegaremos a la siguiente imagen. 


XBConnect Login 


O A sriaica_zx8 
Y ooo EEC 
A Ahora debemos conectar la consola al PC 


mediante el cable RJ45 


a, 


Exit XBConnect : 0 
Si la conexión... 


Forgot Password Reset XBC Create new XBC ID XBC Pro Serial 


Si la conexión es directa de la consola al PC, EL CABLE RJ-45 debe ser 
cruzado. Si entre el PC y la Xbox hay un swich, Hub o Router, el cable 


Si hemos sido originales, no habrá ningún 


A a debe ser no cruzado. 
problema con el alta de usuario, pero si el 


Sino tienes ni idea de cables y esto te suena muy raro, no tengas vergiienza. 


Nick estuviese ocupado ya, deberemos elegir Te aseguramos que si vas a una tienda y pides un “Cable de Red RJ-45 

otro hasta que lo acepte. no Cruzado” o un “Cable de Red RJ-45 Cruzado”, te entenderán 
perfectamente. 

Introducimos el Nick y Pass que acabamos No siempre fue así, hace algunos años (bastantes), si pedías “eso” te 


Ñ a 
de crear y pinchamos en Login. El programa nera) 
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Con esto claro, debemos pinchar en el Menu 
Options --> General Options. 


noes y 
E 


CS 
PAP. 


e 1100 Fed Mac PO AN DA de rar. 


Ahora en la consola ponemos el juego al que 
queramos jugar. En el juego debemos ir a 
INTERCONEXION o JUGAR EN RED y BUSCAR 
PARTIDA. 


Ahora en el PC pinchamos el botón FIND 
(puedes verlo en la imagen anterior) y, si 
todo está configurado bien, nos encontrará 
la tarjeta de red del PC, y la consola Xbox. 


Fijaos que arriba del todo, en el lado derecho, 
pone “My Xbox Status FOUND”, hasta que 
este estatus no esté en Found, no se podrá 
jugar online. 


Los problemas... 


Los problemas más frecuentes a la hora de encontrar la consola 


son: 


b Que tengas un cortafuegos y esto no permita el buen 


funcionamiento. Para solucionar esto, configuramos el 
cortafuegos o lo desactivamos. 


b Que el cable no este bien o no sea cruzado cuando 


debe serlo, o viceversa. 


b Que no tengáis la conexión de Internet compartida. 
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Ahora pinchamos en OK. 


Este programa tiene opción de chat, para así 
organizar mejor las partidas. 


Si queremos podemos conectarnos al Chat, 
basta con pulsar el botón de la esquina inferior 
derecha (Connect Chat). 


Podemos, o bien jugar una partida creada, o 
bien crear una partida y esperar a que se junte 
la peña. Veamos las dos formas. 


JUGANDO UNA PARTIDA CREADA: 
En la parte superior vemos todas las partidas 
que hay en juego, seleccionamos una que nos 


guste, pinchamos dos veces encima de la 
partida que queremos jugar. 


Los juegos vienen en varios formatos dependiendo de su 


procedencia. El formato PAL es la europea, NTSC Japonesa y 


Americana. 


Para poder jugar una partida online, debemos tener el mismo 


formato que el juego creado. 


Connecting to host 


ype /nelp For additional commands 


4, E E 
Players on your xBox% [NES — [7 tor trottic [7 inet Irati 


El juego debe estar buscando partida, cuando 
el tipo que haya creado la partida la inicie, 
vais a la consola y a jugar. 
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Xbox Live - Jugando online grátis - Xbox Live - Juga 


CREAR PARTIDAS: Espero veros jugando online y poder retaros 
a unas partidas, nos lo pasaremos muy bien. 


Pinchamos en HOST 


El mes que viene meteremos varios juegos 
en un mismo DVD con un menú personalizado 
por nosotros mismos. 


Hasta el mes que viene. 


Salu2. 


PD. Este mes quiero agradecerle a mi novia 
Cristina su gran labor a la hora de corregirme 
Seleccionamos el juego, la cantidad de los artículos, MUCHAS GRACIAS ERES LA 
jugadores que permitimos, la contraseña es MEJOR :) 

opcional, la descripción del formato (NTSC o 
PAL), la cantidad de jugadores que van a 
jugar en tu Xbox y el mensaje de bienvenida. 


__———— 
—————— 
> 


Reel Kick 


Esperamos a que entre la gente a jugar y 
cuando nos guste, nos vamos a la consola e 
iniciamos la partida. 


Hay algunas opciones que no he explicado 
porque son muy sencillas y os enteraréis 
facilmente de cómo son estas cosas. 


Hay otro programa que se llama Xlink que 
también es muy bueno y se configura de la 
misma forma. 


También podéis encontrar estos programas 
para otras consolas, como Game Cube y 
PS2. 
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Estáis en el ordenador del trabajo. O en el de clase. O en un cyber. Os apetece hackear. Querérs 


mstalar un programa que os gusta o que necesitárs. Os ponéis manos a la obra y entonces... 


¡Horror! iLos programas no se mstalan! illo podérs ejecutar el editor del registro! illo podéis lanzar 


el panel de control! ¡El menú de contexto no funciona! ¡Esto es un infierno! 


El administrador. para que no toquetees el sistema. ha deshabilitado la mayoría de opciones!!! EY 


ahora qué hacemos? Pues leer este artículo :) 


O. ADVERTENCIA!!! 


No empieces a hacer este ejercicio "a lo 
loco”. Antes léelo completo y decide si 
vas a hacerlo o no. Ni la editorial ni el 
autor de este artículo se hace responsable 
del mal uso de las explicaciones expuestas 
ni de los perjuicios que puedas causar 
en tu ordenador (o en el de terceros). 


Venga, resumiendo, que las pruebas en 
casa y con gaseosa. A estas alturas ya 
deberías tener un Sistema Operativo “de 
pruebas” para hacer los ejercicios que 
te proponemos :) 


1. ¿Qué son las restricciones 
de seguridad? 


Windows permite controlar la ejecución 
de algunos de sus programas y 
componentes colocando ciertos valores 
en el famoso “Registro de Windows”. 


Cuando ejecutamos un programa, este 
comprueba primero los valores del 
“Registro de Windows”. Si en el registro 
existe “tal valor”, el programa se negará 
a ejecutarse y, si existe “tal otro”, se 
ejecutará sin novedad. 


En esto consisten las restricciones de 
seguridad. Se trata de un sistema poco 
efectivo que resulta muy sencillo de saltar. 


El truco está en que es el propio 
programa el que comprueba si esos 
valores existen en el registro. Aquí 
está el punto débil: si hacemos que 


el programa no compruebe nada, la 
restricción será inútil : 


Vamos a verlo con un ejemplo. Vamos a 
hacer que el programa regedit (un 
componente de Windows que sirve 
precisamente para modificar el Registro 
de Windows) no pueda ser ejecutado y 
de esa forma “nadie” pueda cambiar 
nuestro registro de Windows. Esto lo que 
hacen algunos administradores para que 
no puedas "tocarles el Windows”. == 


-> Y después “eludiremos” esta 
protección <--- 


Abrid el regedit. Ya sabéis, no está en 
el "menú de programas”, así que usad 
--> Botón Inicio --> Ejecutar (escribimos 
“regedit” y pulsamos aceptar). 


CT 


e Escriba el nombre del programa, carpeta, documento o 
recurso de Internet que desea que Windows abra. 


Abrir: [regedd 
coc | comes. 
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ls 


Regedit - consigue libertad de acción - Regedit - consigu 


Ahora buscad la clave 


HKEY_CURRENT_USERISOFTWARE 
AMicrosoftY Windows! CurrentVersi 
onYPoliciesYSystem. 


;:* Editor del Registro 
Archivo Edición Yer Favoritos Ayuda 
EU systemCertificates 4| | Nombre Tipo Datos 
(Y Systemionitor [ab](Predeterminado) REG_5Z (valor no establecido) 
a Telnet DisableRegistryTools REG_DWORD OXODDODOD1 (1) 
EU VBA 
E9-] Visual Basic 
EQ was 
EU Windows 
E-U Currentversion 


(A App Management 
QU Applets 
(Y Controls Folder 
(Y Device Installer 
18 ( Explorer 
Y Extensions 
(Y Group Policy 
3-1 Group Policy Objects 
(Y Grpconw 
(2 Internet 
EU Internet Settings 
EQ Policies 
(A Explorer 
/3 System 
(A Run 
(Y Settings 


(Y Setup 


AA Choll Eutancione 


Ii PCIHKEY_CURRENT_USERISoftwarelMicrosoftiWindows|CurrentVersion|Policies| System yA 


Puede ser que en tu Windows solo llegues hasta 
HKEY_CURRENT_USERISOFTWAREWMicrosoftlWindo 
ws |CurrentVersion Policies y no encuentres la clave System 


(porque simplemente no existe). 


Ningún problema, sitúa el Mouse sobre Policies, pulsa el 
botón derecho, aparecerán varias opciones, selecciona 
Nuevo ---> Clave (como en la imagen) 


as 
=)-(83] Policies 
(3 Explorer 
(33 NonEnum 
a Clave nueva +1 
(3 Run 
(3 RunOnce 
(33 Settings 
(3 Shell Extensions 
(3 Syncmgr 
(33 Telephony 
(33 ThemeManager 
(3) Themes 
(3) Uninstall 
(3 UnreadMail 


an 


A Mlelarlanele 


+)--E)--E]---EE 


++) EE 


J 
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En cuanto selecciones la opción Clave (pulsando con el 
botón izquierdo del Mouse), verás una nueva Clave (con 
un nombre tipo “Clave nueva +1 ”). 

Pulsando sobre esta nueva Clave (con el botón derecho 
del Mouse) selecciona la opción Cambiar Nombre y dale 
el nombre System. Ojo!!! He dicho System, no system. 


A A 


61-39 Multimedia 


E Ea A] onEnum 


ES stem 


Muy bien, pues ya tenemos nuestra Clave System :) 


En esa clave, crearemos un nuevo valor 


tipo dword, que se llame 


DisableRegistryTools y le daremos valor 
1. Venga, que no es complicado: 


b Coloca el Mouse sobre la Clave 
System y pulsa el botón derecho. 
Selecciona (pulsa con el botón 
izquierdo del Mouse) la opción 
Nuevo Valor --> Valor DWORD 


E-EY Policies 
(EA Explorer 
(2 NonEnum 
Eon 
(33 Run Expandir l 
E Runonce Cave 
+1- (34 Settings Buscar... == 
+- (1 Shell Extens o E OS 
0-58 S de Eliminar Valor binario 
(3 Telephony  SSmbiar nombre A 
Valor de múltiple 


(53 ThemeManz Exportar 
1-49 Themes 
+-(23 Uninstall 
+ 
+ 


H- (J UnreadMail Copiar nombre de dave 
(1 Webcheck 
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Regedit - consigue libertad de acción - Regedit - consigu | 


PbEn la ventana de la derecha 
podrás ver que se ha creado un 
nuevo valor llamado (por defecto) 
Nuevo valor +1 

Cámbiale el nombre por 
DisableRegistryTools. Esto se 
consigue pulsando con el botón 
derecho del Mouse sobre Nuevo 
valor +41 y seleccionando la opción 
Cambiar Nombre. Acto seguido 
escribes el nombre que queremos 
darle, ya sabes, 
DisableRegistryTools. 


bPor 
DisableRegistryTools tiene el 
valor O (es decir, inactivo). Vamos 
a darle el valor 1 (es decir, 
activado). En la ventana derecha, 
pulsamos el botón derecho del 


defecto, 


Mouse sobre 
DisableRegistryTools y 
seleccionamos la opción Modificar 


4] | Nombre 


(ab] (Predeterminado) 
HH DisableRegistryTools 


> Pues venga, en la nueva pantalla 
que aparecerá cambiaremos el O 
por un 1, pulsaremos aceptar y 
listo!!! 


Editar vatoroworo A 


¿Ahora que? ¿Qué hemos 
hecho? 


Ya puedes cerrar el regedit. Con esto lo 
que hemos hecho es impedir que el 
usuario actual, o sea, nosotros, podamos 
ejecutar una herramienta de edición del 
registro. Usease, el regedit. Si le diéramos 
a DisableRegistryTools el valor 0 o lo 
borrásemos del registro, podríamos volver 
a ejecutar el regedit sin problemas. 


Vamos a probarlo. Ejecutad el regedit 
como antes y fijaos qué mensaje más 
chulo nos sale diciendo que el 
administrador ha deshabilitado la 
modificación del registro. En esto consisten 
las restricciones de seguridad de Windows 
basadas en el registro. 
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Al regedit no le 


caigo bien. 


Alguien podría pensar que la forma de 
solucionar esto es muy simple: sólo hay 
que borrar las claves del registro que 
nos están molestando y se acabó el 
problema. Pero, ¿qué pasa si estamos 
ante un Windows de la familia de NT, en 
el que las claves del registro tienen 
permisos, y no tenemos permiso para 
modificarlas? Pues que habrá que pasar 
a palabras mayores ;) 


2. ¿Qué hacemos ahora? 


Bueno, ya podemos volver a ejecutar el 
regedit para borrar la clave que hemos 
creado. Un momento... No podemos 
ejecutar el regedit porque la clave 
no nos lo permite!!!, y no podemos 
borrar la clave sin ejecutar el regedit. 
¡Houston, tenemos un problema! 
Pero tranquilos, que no cunda el pánico. 
Vamos a solucionarlo. 


Antes que nada quiero advertiros de 
que el regedit con el que voy a 
trabajar es la versión de Windows XP. 
Si usáis otra versión, podéis encontrar 
diferencias, pero todo lo que digo aquí 
Os sirve. 


Lo primero que hay que hacer en estos 
casos es tomar nota del mensaje que 
nos aparece al ejecutar el programa. 
Lo recordáis, ¿verdad? “El 
administrador ha deshabilitado la 
modificación del Registro". Ese 
mensaje es el que nos permitirá 
encontrar la instrucción que hay que 
modificar para conseguir nuestro 
objetivo, tranquilo, que ahora lo 
explicamos :) 


¿Cómo vamos a hacer esto? Pues no 


O Ultrabdit 32 


033106 
1NII200; DI 
¡113304 : 
1133 40%: 
3500: 


Anmaceda ayuda, Pos: DOHA 11714, CD 


es tan complicado como parece. Un 
programa, como ya debéis saber, no es 
más que una secuencia de instrucciones 
que se ejecutan en serie para llegar a 


realizar la tarea que se le ha 


encomendado. 


Cuando un programador escribe un 
programa, lo hace en un lenguaje de alto 
nivel como C, PASCAL, BASIC o cualquier 
otro de los muchos que existen. Estos 
lenguajes se llaman *de alto nivel” porque 
están próximos a la forma de pensar de 
las personas. Es decir, tienen instrucciones 
escritas en un lenguaje “similar” al inglés 
que se pueden entender fácilmente al 
leerlas. 


También existen los lenguajes de bajo 
nivel, que son lenguajes cercanos al 
funcionamiento interno del ordenador. 
Están formados por instrucciones muy 
básicas que resultan muy sencillas de 
ejecutar. 


Uno de estos lenguajes es el que se llama 
“lenguaje máquina” o “código 
máquina”. Este lenguaje es el único que 
el microprocesador entiende directamente. 
Todos los demás deben ser traducidos a 
lenguaje máquina para poder se 
ejecutados. 


[E Docuenents ad Settings Hexborg+Escritorio.regedi exe] 
Esoyezo Yer Eomsko Columna Macro Avanzado Weckans Auca 


2 2 14..0:1$1.73.0E1 


: Pyvu.3 
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45 5 UV... 01. Mo 
C4 1 ¿PLPOEAOF.D...fA 


Esto es código 


máquina. Libera tu 


mente. 


=181x] 
5] sens E - Pa B|. se ==. a  |uacetbobo 


pa 


Ó...cMecI 


£ 12 : 0.£.[=l.v.].Y.1. 
- 
Pa 


pos —[——— pod: z0p12/200313:1952 [Tamal 13977€ Mz 
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Recapitulando, cuando un programador 
escribe un programa, lo escribe en un 
lenguaje de alto nivel. Luego lo traduce 
a lenguaje máquina usando un programa 
llamado compilador o ensamblador 
dependiendo de que el lenguaje sea de 
alto o de bajo nivel y, tras un proceso 
que no me corresponde explicar aquí (ya 
ha sido explicado en anteriores números 
de esta revista), acaba obteniendo un 
ejecutable (por ejemplo el típico archivo 
loquesea.exe). 


De manera que un ejecutable no es ni 
más ni menos que una serie de 
instrucciones traducidas a lenguaje 
máquina. Si conocemos el lenguaje 
máquina y podemos leer y modificar estas 
instrucciones, entonces seremos capaces 
de entender lo que hace el programa y 
cambiarlo a nuestro gusto. 


Esto que parece muy sencillo en realidad 
puede ser terriblemente complicado. El 
problema es que el lenguaje máquina 
está formado por números. Esos números 
se agrupan en varios grupos y cada grupo 
de números es una instrucción con sus 
parámetros y todo. 


Si miráis un programa en lenguaje 
máquina, cosa que se puede hacer 
abriendo un ejecutable con un editor 
hexadecimal, lo único que veréis será un 
montón de números en hexadecimal. A 
ver quién es el guapo que entiende algo 
en ese galimatías que parece el código 
de matrix. Pues hay gente que es capaz 
de hacerlo, os lo aseguro, pero nosotros 
no lo vamos a necesitar (menos mal). 


La solución es usar otro lenguaje llamado 
“lenguaje ensamblador”. Este es otro 
lenguaje de bajo nivel que, a diferencia 
del lenguaje máquina, está formado por 
palabras que se pueden entender. 


La gracia está en que existe una 
equivalencia entre las instrucciones del 
ensamblador y las del lenguaje máquina, 
es decir, se puede traducir directamente 
de lenguaje máquina a ensamblador y 
viceversa. 


Esta característica muy especial y no la 
tienen otros lenguajes, en los que es muy 
fácil traducir del lenguaje que estáis 
usando a lenguaje máquina, pero es muy 
difícil hacer el proceso inverso. 


De manera que lo que necesitamos es un 
programa que traduzca de lenguaje 
máquina a lenguaje ensamblador y nos 
permita ver así el ejecutable. Este 
programa se llama desensamblador, y 
nosotros utilizaremos el W32Dasm, que 
es uno de los mejores desensambladores 
que existen. 


3. Manos a la obra 


Antes que nada, pasaremos por 


www.hackxcrack.com, iremos a la sección 
“Artículos Liberados y Descargas”, 
entraremos en el número 19 y nos 
descargaremos el programa W32Dasm. 
Nada mas descargarlo ya puedes 
ejecutarlo -no necesita instalarse :)-. 


| Select a File for Disassembly 


Ahora creamos una carpeta en C:%M 
llamada, por ejemplo, loveasm. 
Buscamos en nuestro PC el archivo 
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regedit.exe (normalmente estará en 
C:YWindowsYN) y lo copiamos (he dicho 
copiar, no mover) en C:Mloveasm. Vamos 
a modificar dicho archivo, por lo tanto 
modificaremos nuestra copia, la que 
hemos copiado en c:lMloveasm. 


Ahora nos vamos al W32Dasm, Menu 
Disassembler --> Open File to 
Dissasemble y seleccionamos 
c:Woveasmregedit.exe 


El URSoft W32Dasm Ver 8.93 Program Disassembler/Debugger 
Disassembler Edit Project Debug Seardy Goto Execute Text Functions | 


53 


e 


mble. 


Copy Selected Lines CHIC 


Font... » 


Glear All Trace Marks, , 


Display Options 
Patch Options 
Disassembler Options.. 


Exit 


Inmediatamente, el W32Dasm comenzará 
a desensamblar el fichero. Cuando haya 
terminado, nos encontraremos ante una 
pantalla que nos mostrará todas las 
interioridades del ejecutable. Como veis 
no sólo hay instrucciones sino también 
datos, recursos de Windows, referencias 
a librerías y varias cosas que el programa 
necesita para funcionar. 


Como ya os he dicho antes, el mensaje 
que nos muestra el regedit cuando se 
niega a ejecutarse será crucial para 
crackearlo. El W32Dasm nos permite 
ver las cadenas de un ejecutable o buscar 
en el listado las referencias a dichas 
cadenas. 
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Code Ofíset = 00000400, Code Size = 906014000 
Data Offset = 00015000, Data Size = 00000200 


Number of Objects = 0003 (dec), Imagebase = 01000000h 


Objectól: .texz RVA: 00001009 Offset: 00000400 Size: 00014C00 Flags: 60000020 
Objectó2: .data RVA: 00016009 Offser: 90015000 Size: 00000200 Flags: COD00040 
Object03: .rsre AVA: 00057000 Offset: 00015200 Size: 00000000 Flags: 40000040 


Here repre A+ +++ MENU INFORMATION ++ph+ir i++ 


Number of Dielogs = 


There Are € Menu Resources in This Application 
But they are in an unrecognized Former 
Fhe hit +i++++++++ DIALOG INFORMATION +++++i+tt+t+t++t+ 


24 (decimal) 


Name: DislogiD_0064, $ of Controls=006, Caption:"", ClassName:"" 


001 - ControliD:045f, 
002 - Control1ID:0503, 
003 - Centrol1D:0500, 
004 - Control1D:0501, 
005 - ControliD:FFFF, 
00€ - ControllD:FFFF, 


DislogID_00€6, $-of 


001 - ContzoliD:FEFF, 
002 - ConvrolID:03E9, 
003 - Contro1ID:9001, 
004 - ControliD:0902, 
905 - ControlID:FFEFF, 
006 - ControliD:03E8, 


DialogID_00€7, $ of 


001 - ControlID:FFFF, 
002 - Contzcl1D:0001, 
003 - ConvrolID:0002, 
004 - ControllD:FFFF, 
005 - ControlID:0328, 
00€ - ComtrolID:FFFF, 


Convrol Class: "STATIC" Control Text:"" 

Control Class: "BUTTON" Control Text:"Intervalo de exportación" 
Control Class: "BUITON" Control Text:"sTodcs" 

Control Class: "BUTTON" Control Text:"sRame seleccionada" 
Control Class:"" Control Texr:"" 

Control Class: "STATIC" Control Texr:"Ramae seleccionada" 

Controls=00€, Caption: "Zdíter cadenas”, ClaszsName:"" 

Contzo1 Class: "STATIC" Control Text: "¿Información del valor:” 
Convrel Class: "EDIT" Control Texr:"" 

Control Class: "BUTTON" Control Text:"Aceptar” 

Control Class: "BUTTON" Control Text:"Cancelar”" 

Control Class: "STATIC" Control Text:"eNombre de valozr:" 
Control Class:"EDIT” Control Text:"" 

Centrols=00€, Caption: "Editar valor binario”, ClassName:"" 
Control Class: "STATIC" Control Text:"6Infcrmación del valor:” 
Control Class: "BUTTON" Control Text:"Aceptar” 

Control Class: "BUTTON" Control Text:"Cancelar" 

Control Class: "STATIC" Control Text:"¿Nombre de valozr:"” 
Control Class: "EDIT” Control Text:"” 

Control Class: "STATIC" Control Text: "eNombre de clave: " 


Name: DíslogID 00682, $ of Controls=004, Caption: "Cargar subárbol", ClessMame:"" 
001 - ControlID:FFFF, Control Class: "STATIC" Control Text:"«Nombre de clave: "” 


Y) E 


| Line:0 Pg 1 0557 File:regedit. exe 


cadenas de caracteres, es decir, mensajes 
u otros textos que el programa necesita 
utilizar mientras se está ejecutando. Y 
las referencias a cadenas son instrucciones 
que hacen referencia a esas cadenas. 


entenderlo casi todo. 


Pongamos un ejemplo. Supongamos que 
un programador quiere proteger un 
programa para que no funcione después 
de cierto tiempo. Podría escribir algo como 
esto: (Lo voy a poner en pseudos-código 
para que todo el mundo lo entienda, sin 
tener que conocer ningún lenguaje de 
programación): 


Si el tiempo ha expirado 
Entonces 
Mostrar “Se acabó el asunto, 
Terminar el programa 
Sino 
Resto del programa 
Fin 


colega” 


Aquí aparece una cadena: “Se acabó el 
asunto, colega”. Y una referencia a la 
cadena en la instrucción “mostrar”, porque 
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esa instrucción utiliza la cadena para 
mostrarla en la pantalla. La cadena estará 
guardada en algún lugar de la memoria 
(...o del ejecutable) y la instrucción 
“mostrar” tomará como parámetro la 
dirección de memoria en la que está la 
cadena. Ésa es la referencia. De esta 
manera, si en otro lugar del programa 
necesita utilizar la misma cadena, no es 
necesario que la guarde dos veces en la 
memoria, simplemente volverá a colocar 
la dirección de memoria en la que está 
y, de esta manera, habrá otra referencia 
a la misma cadena. 


De modo que, en nuestro caso, tenemos 
una cadena. Si buscamos las referencias 
a esa Cadena, encontraremos todas las 
instrucciones que utilizan esa cadena 
para algo. 


¿Y de qué nos va a servir eso? Si os fijáis 
en el pseudo-código que he puesto más 
arriba, veréis que justo encima de la 
instrucción que utiliza la cadena hay un 
“si”. ¿Qué pasaría si quitásemos ese “si” 
e hiciésemos que pasara directamente 
al “resto del programa”? Pues que se 
acabó la protección. 


4. De la teoría a la práctica 


Así que vamos a llevar esto a la práctica. 
En el W32Dasm veremos un menú que 
pone Refs. Efectivamente, lo habéis 
adivinado, ahí es donde están las opciones 
relacionadas con las referencias. 
Elegimos Menu Refs --> String Data 
References 


lei 
Disassembler Edit Project Debug Searhh Goto ExecuteText Functions HexData | Refs Help 
(0 (5 [5 6 z Mine E Eotd er] Menu References 


a Dialog References E 


Code Offset = 00000400, Code Size = 00014000 
Data Offset = 00015000, Data Size = 00000200 


Number oí Objects = 0003 (dec), Imagebase = 01000000n 


Objectól: .text AVA: 00001000 Offses; 00000400 Size; 00014C00 Flags; 60000020 
Object02: .data RVA: 00016009 Offset: 00015000 Size: 00000200 Flags: CO000040 A 
4 » 


List and Search for String Data References in Disassembly 
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y veremos una ventana que nos muestra 
una lista de las cadenas que el regedit 
utiliza internamente. Si nos fijamos un 
poco, abajo del todo está la nuestra (si 
no la veis, darle un poco para abajo), 


ox 
To Sesch Disacsambl, lor Strg Data, Double Click on Test Cancel Search 


5ting Resouice ID=00015 “Editar del Registro" 

5ting Resowce ID-00017 “Nombre” 

5ting Resowce ID-00018 “Daños” 

5ting Resouice 1000019 "Mi PC" 

5ting Resource ID=0002) Predeteminado!" 

Sting Resource ID-00001 “Cambiw datos binance 

5ting Resource ID=00022 “Trekor burero de lorahd cer)" 
5ting Resouce 1000023 “Clóe ruseva HZ" 

5ting Resowce ID=00024 “Nuewo valor 14 

5ting Resowce ID=00025 "Contraer" 

5tnng Resource ID=00025 “¿Modécar" 

5ting Resource ID»00027 “Tvalo no establecido!" 

5ting Resource ID-00003 “reged: np" 

5ting Resource ID=0009 "0011064 (11411 

5ting Resouice Ivalor DWORD aé 

5ting Resouice 
5ting Resource 


[Chse py Al 


Así que hacemos doble click sobre ella 
y aparecemos en una instrucción en medio 
del listado ensamblador del regedit. Si 
hay varias referencias a la cadena, cada 
vez que hagamos doble click, 
apareceremos en la siguiente referencia. 


Lo que estáis viendo ahora mismo es un 
trozo del desensamblado del programa 
regedit. Como veis, está dividido en tres 
columnas. Cada línea es una instrucción, 
tanto en lenguaje máquina como en 
ensamblador. La primera columna es la 
dirección de memoria en la que está la 
instrucción, la segunda columna es el 
código de la instrucción en lenguaje 
máquina y la tercera columna es la 
instrucción en ensamblador. 

También hay otras líneas con mensajes 
del W32Dasm que nos dicen cuales son 
las referencias y qué instrucciones están 
referenciadas desde otras. Esto lo usan 
las instrucciones de salto para saltar a 
otras partes del programa. Vamos a ver 
lo que significa todo esto. 
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72 URSOft W32Dasm 8,93 CZ Program Disassembler'Debugger 10 xx] 
Disassembler Edit Project Debug Search Goto Execute Text Functions HexData Refs Help 
* Reference To: USER32.FindllindowW, Ord: 00E6h al 
1 
:D1008A9C FF1594130001 Call dword ptr [01001394] 
:01008442 A360660501 mov dword ptr [01056660], eax 
:01008447 ES4FFRFFFF call 010089FB 
:01008AAC 85C0 test eax, eax 
:O100SAAE 7414 je O1008ACA 
* Possible Reference to String Resource ID=00016: "Editor del Registro" 
1 
;01008A4B0 6AL0 push 00000010 
tamal 


* Possible Reference to String Resource ID=00016: "Editor del Registro" 


:D1008AB2 6ALO 


1 
push 00000010 


* Possible Reference to String Resource ID=00040: "El administrador ha deshabilitado la modifi: 


:01008AB6 53 


:D10084B7 FF35FO640101 


:01008ABD ESD3020000 
:D10084C2 830414 
:010084C5 E9Z1010000 


push ebx 

push dword ptr [010164F0] 
call 01008D95 

add esp, 00000014 

jmp O10OSBEB 


* Referenced by a (U)inconditional or (C)onditional Jump at Address: 


1:010084AE(C) 

| 

:O1008ACA ESFBFDFPFF 
:D1008ACF 48 


al 


call 010088CA 
dec eax 


| Line:17959 Pg 217 of 582 Code Data (2:01 0084B4 (Offset 00007EB 4h in File:regedit. exe 


Si os fijáis un poco más arriba de la 
referencia, hay una instrucción que 
empieza con “je”. Esto es un salto. (je = 
jump if equal, saltar si es igual). Lo que 
estáis viendo ahora mismo es un esquema 
similar al pseudo-código que he puesto 
antes, y tiene la siguiente estructura: 


comprobar una condición 

test eax, eax 

je Continuar 

mostrar mensaje y salir 

continuar: 

Resto del programa 
Las instrucciones clave son test, je y la 
etiqueta. Lo primero que hay es código 
para comprobar la protección. Son las 
instrucciones que hay delante de test. 
Esas instrucciones dejan un valor en eax, 
que es un registro del procesador, algo 
así como una variable que contiene un 


dato. 


eax valdrá 1 si la protección esta activada 
y O si no lo está. La instrucción “test 
eax, eax” comprueba si eax es igual a 
cero, y la instrucción je hace que, en 
caso de que eax valga cero, el programa 
siga ejecutándose a partir de la etiqueta 
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continuar. En caso contrario, seguirá por 
las instrucciones que hay detrás del salto, 
que muestran el mensaje y terminan. 


Así que, lo que tenemos aquí es un 
esquema igual al del pseudo-código. El 
“si” es el salto y el parámetro del salto 
es la dirección de memoria de la 
instrucción a saltar (como nuestra etiqueta 
continuar). Podéis ver que esa instrucción 
está después de la que hace referencia a 
la cadena. En este caso se trata de un 
salto condicional (salta SI es igual). Lo 
que hay que hacer es convertirlo en un 
salto incondicional, o sea, que siempre 
salte :) 


5. El truco del almendruco 


Aquí vamos a meternos un poco con el 
código máquina, porque lo que vamos a 
hacer es modificar el código de la 
instrucción de salto (ese que pone “74 
1A”) para convertirla en un salto 
incondicional. 


El W32Dasm no nos permite modificar 
directamente las instrucciones en 
ensamblador, lo cual tampoco nos 
interesa, porque ya os habréis fijado en 
que no todas las instrucciones tienen la 
misma longitud. Por ejemplo, la instrucción 
de salto puñetera ocupa 2 bytes, pero la 
instrucción call que hay un poco más 
arriba ocupa 5 bytes. 


Imaginaros lo que pasaría si nos 
equivocásemos y cambiásemos una 
instrucción que ocupa 2 bytes por otra 
que ocupa más. Sobrescribiríamos las 
instrucciones que hay a continuación y 
Windows cantaría su canción favorita: “El 
programa ha efectuado una operación no 
permitida”. 


Así que tenemos que cambiar el salto 
condicional de 2 bytes por un salto 
incondicional que también ocupe 2 bytes. 
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A parte de saltos condicionales e 
incondicionales también existen saltos 
largos y saltos cortos. Se diferencian en 
lo que ocupan. Aquí están sus códigos: 


Saltos cortos: 


Saltos largos: 


90) E9 XX XX XX XX | Jmp XXXXXXXX | 
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Por supuesto, las XX del código máquina 
dependen de las direcciones de los saltos, 
pero eso no lo vamos a tocar, sólo hay 
que conocer los números del principio. 


Hay muchos más saltos, pero de 
momento estos son los únicos que vamos 
a necesitar. También es interesante 
conocer una instrucción más. Os la voy 
a presentar: Se llama nop, su código es 
90 y sirve para no hacer nada. 


A primera vista no parece una instrucción 
muy útil, pero en realidad es una de las 
que más se utilizan a la hora de crackear. 
Por ejemplo, si os fijáis en el código largo 
de la instrucción jmp veréis que hay un 
90 delante. 


Lo que pasa es que la instrucción jmp 
ocupa un byte menos que los demás 
saltos largos y para ajustar la longitud 
nosotros añadiremos una instrucción nop 
delante. Por eso lo he puesto entre 
paréntesis. Realmente el 90 no forma 


parte del código de jmp. 


Bueno, pues a estas alturas seguro que 
ya sabéis lo que hay que hacer. Hay que 
cambiar el “74” por "EB”. 

Primero haced doble click sobre la 
instrucción de salto para seleccionarla 
(aparecerá una barra verde sobre ella). 


DLOOBAFA FE 
:0L0IBAFÁ 53 
:O1008A5B E£S20150001 


Caid dword psx (91001100) 
push ss 
pueh 01901523 


+ Reference To: USER32.FindWindowW, Ord:00Zéh 
1 

Cali dword psz 1010 
mov dwo: 0105 


:04008300 
: 010088065 
0108808 28 
:0L0I8BLO 3 


* Possíble Reference to String Resource ID=0001€: "Editor del Registro" 
Í 


: 01008814 £R10 puér 222002 


* Possíble Reference to String Resource ID=0001€: "Editor del Registro” 


" 
:OEDCBBLE ERLO push 20200910 


=10/xi 


E 


* Possible Reference to Lig ess Tiras CEL AA e A 


: 06008818 ERE puéh 92900023 

:D1008B1A push ma 

:D10I8B1B push dword ptr [0101:4F0] 
:0L078824 call 01 
:0400885k add +. 
¿NIOOBBZO 252101 sup 2 


| Line:18054 Pg 208 of 557 Code Data 201008812 GOffset 00007F12h in File:regedit. exe 


Ahora si os fijáis en la barra de estado 
del W32Dasm (la de abajo del todo de la 
ventana) veréis que, entre otras cosas, 


aparece el texto "GQOffset 00007F12h 
in File: regedit.exe”. Tomad nota de 


este número porque es el offset en el 
que está el salto dentro del ejecutable 
(que no es lo mismo que la dirección de 
memoria). 


:01008B26 83C414 add esp, 00000014 
:01008B29 E921010000 jmp 01008C4F 
E 


Line:18054 Pg 208 of 557 Code Data 2:01008B12 ¡Offset OODO7F12h in File:regedit. exe 


Como ya os dije antes... 


Como ya os dije antes, SIEMPRE debéis trabajar sobre 
una copia de los ficheros originales que vayáis a modificar. 
Nosotros ya estamos trabajando sobre una copia. No vamos 
a modificar el regedit.exe original. De esta manera, si no 
tenéis permisos para modificar el regedit.exe podéis hacerlo 
de todos modos. 
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Abrid la copia del regedit con un editor 
hexadecimal. ¿Cómo? ¿Nunca has 
utilizado uno? Bueno, vale... Nosotros 
vamos a utilizar el UltraEdit-32 en su 
versión 10.10c (aunque podrías utilizar 
cualquier otro). 


Lo primero, como siempre, nos vamos a 
www.hackxcrack.com y descargamos el 
programa. Lo instalamos y ejecutamos. 
Os encontrareis frente a la ventana 
principal del programa :) 


lex 
[| arco Exitar Euscar Proyecto der Formato Columna Macro Avanzado Ventana Ayuda 


[es Ds ulé6RA MINE == el JAN 


[nl Como es muy obediente, lo abrirá y 


fa tendremos lo siguiente :) 


(? Ultrafdi-32- CJoveasmregeditexe E lolx] 
Low ta Buren le Ema Goma loo Amo tes A 

[soso Ranas vas lea = ===]  JANARRBDA! 
al 


00 
ont 


"Ta 
Archivos abiertos y 
Do000010: Bs 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 ; 


EL) Archivos abiertos Do0000204; 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ; 


B Cijovessmyegedt.ere D0000030x; 00 00 00 00 00 00 00 00 00 00 00 00 E0 0000. 00;... 
D0000040h; OE 1F BA OE 00 B4 09 CD 21 B8 01 4C CD 21 54 68 ; 
N D0000050h: 69 73 20 70 72 6F 67 72 61 6D 20 63 61 6£ 6£ 6F ; is program canno 


DO000060h: 74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20 ; t he cun in DOS 
00000070h: 6D 6F 64 65 2£ 0D 0D 04 24 00 00 00 00 00 0000 ; Md... doo... 
00000080h: D3 61 88 82 97 DO E6 D1 97 00 E6 D1 97 00 E6 D1 ; Ón*,-.ell-. eh al 


ANAIS" Helio PE) > eva Bei 00000090h: 97 00 ES Di 96 00 E6 Di 6D 23 A6 Di 96 00 E6 D1 ; —.ell-.ellnk!Ñ a 
00000080h: 97 00 E7 Di B2 01 E6 Di 6D 23 FF D1 84 00 ES D1 ; —,qh* elias 
: DO0000hOh: 00 23 A3 D1 96 00 E6 D1 4D 23 FA D1 84 00 E6 D1; .Heñ- Ampl, 
Ahora, desde nuestro nuevo juguete (el DO00DOCOh: 4D 23 FB Di 9C 00 E6 Di 6D 23 DB D1 96 00 E6 D1 ; Mpio eingi- el 
dde A 000000d0h: 52 69 63 68 97 00 E6 D1 00 00 00 00 00 00 00 00 ; Rich-.ei 
UltraEdit 32) hay que ir al offset que D00000e0h; 50 45 00 00 4C 01 03 00 38 D6 6D 3D 00 00 00 00 ; 
decía el W32Dasm (00007F12h). ODO000f0h: 00 00 00 00 EO 00 OF 01 0B 01 07 00 00 4C 01 00; 


DO000100h; 00 D2 00 00 00 00 00 00 C5 8A 00 00 00 10.00.00; 


D0000110h: 00 60 01 00 00 00 00 01 00 10 00 00 00 02 00.00; .* 
000001204: 05 00 01 00 05 00 01 00 04 00 00 00 00 00 00 00 ; 


¿Qué como se hace eso? 


Bueno, vengaaaa. Ya tenemos el %rsemanen A A 
UltraEdit-32 ejecutado y esperándonos, 

bien. Lo que queremos hacer es EDITAR Ahora tenemos el regedit.exe a nuestros 
(modificar) el regedit, pues tenemos Pies, podemos editar (modificar) 

que decirle al UltraEdit-32 que abra el directamente su código. Primero (como 

regedit. ya hemos dicho) tenemos que ir al offset 

Pues venga, Menu Archivo --> Abrir y le. que decía el W32Dasm (00007F12h). 


conducimos al regedit.exe que tenemos Pues venga, Menu Buscar --> Ir a 
en C:Moveasel línea/pagina o la combinación de teclas 


Ctrl-G 


PC PASO A PASO N* 19 Página 25 


Regedit - consigue libertad de acción 


(”) UltraEdit-32 - C:loveasmlregeditexe 
Archivo Editar | Buscar Proyecto Ver Formato Columma Macro Avanzado 


€ Y DO mñ Buscar Al+F3 
I regedit. exe | Ml Buscar siguiente FS 
 —— es Buscar anterlor ETRL+FS 
FE Reemplazar Ctl+R 
Filtro: J Bú 5 tal 
[Archivos abiertos A 8 ma 


13 Archivos al Cp Reemplazar en archivos 
El C:love — 


(5) Buscar entre llaves 


Ctrl+Shift+1 


Ctrl4B 


Va alinea = o dire 
PERE rá O PEPA 


Para los que... 


Para los que no utilicen el UltraEdit-32: 

Como ya hemos dicho, editores hexadecimales hay muchos. 
Para hacer lo mismo en el Hex Workshop, es con 
Edit/Goto... o Ctrl-G y debéis seleccionar “Beginning of 
file” y “Hex”. Usando el WinHex es con Position/Go to 
Offset... o Alt-G. Aseguráos de que esté seleccionado 
“Beginning of file” y “Bytes”. 


Y nos aparecerá esta escueta ventana: 


xi 


Aceptar | 
Cancelar | 
Para dirección HEX escriba 0x7??? 


Para dirección decimal escriba el 
número directamente 


En el rectángulo blanco hay que escribir 
el offset PRECEDIDO de “Ox” (el número 
O y la letra x sin las comillas). Es decir, 
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- Regedit - consigue 


debemos escribir “0Ox00007F12h” (sin 
las comillas). Si alguien se pregunta el 
motivo de añadir “Ox” el mismo recuadro 
ya lo aclara, estamos introduciendo un 
dato en HEX (más detalles consultar 
anteriores número de la revista o consultar 
en el foro www.hackxcrack.com). 
Venga, que acabamos, pulsamos el botón 
aceptar y nos encontraremos lo siguiente: 


Liróno Eóter Busca Boyeco ler Eomato Colima Haro Avangado Ventana A 


lolxl 


110 ra 


les Dcornjena vn S148 8] 


=| JANARABNA! 


| tegedtese | 


E Glloveasm|regedit.exe 


00007£20h; 01 ES D3 02 00 00 83 C4 14 E9 21 01 00 00 ES FB ; .éÓ 
: FD FF FF 48 OF 84 FA 00 00 00 48 OF 84 DE 01 00 ; 
: 00 41 60 66 05 01 3B C3 74 51 50 FF 15F8 12 00;. 
: 01 85 CO 74 13 64 09 FF 35 60 66 05 01 FF 15 10; 
+ 13 00 01 E9 E? 00 00 00 FF 35 60 66 05 01 8B 35; 
: 90 13 00 01 FF D6 FF 35 60 66 05 01 FF 15 80 13; 
: 00 01 8B F8 3B 3D 60 66 05 01 74 03 57 FF D657;.. 
: FF 15 88 13 00 01 E9 B4 00 00 00 64 1C E8 B5 00; y.* 
: 00 00 3B C3 59 A3 5C 66 05 01 OF 84 9F 00 00 00 ; 


EL) Archivos abiertos 
El Cilovessmiegedit.exe 


S/necesita ayuda, pulse F1 [Pos: 7f12H, 32530,C0. [Dos | [Nod,: 09/09/2002 13:51:36 — [Bytes Sel: 2 


Lo primero es asegurarnos de que en esa 
posición está el salto, hay que asegurarse 
de que estén los códigos “74 1A”. Fíjate 
en la imagen, hemos "pintado” de azul 
los códigos. Si no estuviesen, es que te 
has equivocado en algo, revisa los pasos 
a seguir e inténtalo de nuevo. 

Una vez hemos encontrado el salto "74 
1A”, deberemos... ALTO!!! LEE LA 
SIGUIENTE NOTA ANTES DE 
CONTINUAR!!! 


Para los que... 


LEGAL o ILEGAL: Ahora te diremos que para seguir el 
ejercicio “DEBERÍAS” hacer tal y cual cosa. Remarcamos 
lo de DEBERÍAS, además no te enseñaremos NINGUNA 
ventanita que indique que nosotros estamos haciendo el 
ejercicio... ¿por qué?... Pues porque es ILEGAL emplear 
la ingeniería inversa para MODIFICAR programas de 
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terceros (en este caso el regedit.exe, un programa de 
MICROSOFT). 


Por lo tanto, te lo advertimos, si sigues el ejercicio estás 
cometiendo un delito. Si estuviésemos tu y yo sentados en 
tu casa te diría que no pasa nada (no creo que en tu casa 
Bill Gates tenga una cámara espiándote), pero como estás 
leyendo una publicación legal debemos avisarte y remarcar 
este tipo de cosas. 


Ahora DEBERÍAS cambiar el 74 por “EB” 
(como si estuvieses en Word :). No te 
enseñamos la pantalla porque es ILEGAL. 
Y DEBERÍAS guardar el fichero, en el 
UltraEdit-32, Menu Archivo --> Guardar. 


Se acabó!!! Ahora DEBERÍAS ejecutar el 
regedit.exe que DEBERÍAS haber 
modificado y que lo tienes en c:Woveasm!. 
PODRÍAS comprobar que ahora SÍ 
DEBERÍAS poder acceder al registro de 
Windows. 


6. Ultimando detalles 


Si no os funcionase, puede ser porque 
estáis usando otra versión del regedit 
y la referencia correcta no era esa (el 
salto correcto no era ese). Ningún 
problema, borrad la copia del regedit y 
volved a copiar el original en c:Yloveasm. 


Con el W32Dasm volved a buscar la 
referencia. Esta vez, en lugar de una, 
haced doble click dos veces sobre la 
cadena “El Administrador ha 
deshabilitado la modificación del 
Regist” en la ventana "W32Dasm List 
of String Data Ítems” (recuerda que 
llegaste a esta ventana mediante el Menu 
Refs del W32Dasm). 


Haciendo esto ¡iremos a la segunda 
posición y deberemos repetir el resto del 
proceso. En este caso la referencia del 
offset será distinta (recuerda apuntarla). 
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Si con la segunda tampoco funciona seguid 
probando hasta encontrar la buena. No 
os preocupéis, no hay muchas. Por 
ejemplo, en Windows Millenium, un 
pajarito me dijo que la buena es la 
segunda ;) 


7. Deja el sistema operativo como 
estaba 


Si ejecutáis el regedit.exe original de 
Windows (situado normalmente en 
C:YWindowsY) veréis que aún sigue 
mostrando el mensaje “El Administrador 
ha deshabilitado la modificación del 
Registro”; pero si ejecutases 
regedit.exe que has crackeado (el que 
tienes en c:Woveasm), funciona sea cual 
sea el valor que tenga en el registro 
DisableRegistryTools. 


Ahora ya podéis borrar 
DisableRegistryTools o poner su valor 
a O (dejar vuestro sistema como estaba). 


Con todo esto DEBERÍAMOS haber 


conseguido un regedit.exe que 
PODRÍAMOS llevar a cualquier sitio (por 
ejemplo un “cyber-cafe”) y nos permitirá 
editar el registro de cualquier PC de la 
sala aunque el administrador haya 
deshabilitado esa opción ;) 


Ya sabes que el registro de Windows es 
el “alma” de Windows, si puedes acceder 
a él y modificarlo puedes hacer “casi 


cualquier cosa”. 
Espero que no os haya parecido muy difícil 


y que lo hayáis entendido bien. Saludos 
a todos. 
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- Conoceremos SNORT: Un potente 1DS. un potente smfer. un potente "caza-mtrusos” 
- Sistemas IDS: HIDS, NIDS Y DIDS 
- Vamos a acercarnos a LA VERDADERA SEGURIDAD! 


Hola amigOs, otra vez por aquí ;) 


En esta ocasión no vamos a probar 
vulnerabilidades, todo lo contrario, vamos ha 
intentar taparlas, protegernos y asegurar 
nuestros PC's. Y cuando digo nuestros PC's 
digo TODOS, no sólo uno de ellos. 


Este es el primero de una colección de artículos 
que tratan de SEGURIDAD, lo pongo en 
mayúsculas porque eso es lo que vamos a 
implementar, seguridad, seguridad y 
seguridad. 


La idea esencial es aprender dos cosas básicas: 


b Un Sistema de Detección de Intrusos 
(IDS - Intrusion Detection System) 
bUn Cortafuegos (Firewall) y/o 
Proxy-Firewall 


Empezaremos por los IDS. Cuando me decidí 
a escribir sobre estos temas me surgió una 
gran duda entre dos posibilidades: ¿Qué 
haces, Vic_Thor? ¿Pones cuatro links, das 
tres ejemplos y te ventilas el IDS en dos 
páginas? O.... ¿Explicas el cómo, por qué, 
dónde y de qué manera se implementa un 
IDS? 


Opté por la última, lo que quiere decir que 
son "malas y buenas” noticias, "malas” porque 
me tendréis que aguantar más de un mes ya 
que me decidí a explicar pormenorizadamente 
la arquitectura de snort, que será el IDS a 
implementar, y serán “buenas” porque tras 
esta serie de artículos seréis capaces de 
manejar sin problemas, sin miedos y con total 
seguridad este tipo de aplicaciones. 


Algunos estaréis pensando... "Joer, qué 
misterio tendrá... si total se instala, se aplican 
las reglas, se ejecuta y a mirar...” bueno, 
pues si queremos entender... primero hay que 
aprender... además ya conocéis la filosofía de 
esta publicación: "... no sólo nos gusta que 
funcione, nos gusta saber cómo funciona...” 


Si tienes un conocimiento medio de snort, 
este artículo te sabrá a poco, pero si no sabes 
lo que son cosas como el pre-procesador, 
Frag2, Stream4 ó Streamb5b, el sistema de 
detección, plug-in para salida, etc... este 
artículo te abrirá los ojos y te ayudará a 
entender "el alma” de los IDS y sobre todo 
ASEGURAR la red mediante un sofisticado 
mecanismo de alertas y detección de ataques 
comunes, exploración de puertos, exploits, 
desbordamientos de memoria, etc. 


Terminaremos creando un Sistema Central 
IDS, con soporte de Bases de datos, servicios 
Web para la generación de informes, alertas 
por mensajería, reglas personalizadas y más.... 


Las aplicaciones escogidas se ejecutan sin 
problemas en plataformas LINUX y Windows, 
quizás en lo que más difieren unas versiones 
de otras es en el momento de la instalación, 
de los “añadidos” y de alguna que otra cuestión 
menor o mayor dependiendo de cómo lo 
veamos.... con gran esfuerzo y cariño hacia 
vosotrúOs estos artículos están pensados en 
ambas plataformas, lo iréis descubriendo poco 
a poco. 


En artículos posteriores abordaremos firewalls 
y proxys no... no se trata de ZoneAlarm... 
que va... es algo más profundo y “serio”, 
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flexible y configurable, que analice no sólo 
puertos e Ip's, también contenidos y, si nos 
animamos, hasta nos terminamos montando 
un Honeypot para despistar a nuestros 
“atacantes”, me estoy refiriendo a Firewalls 
del tipo Next Generation o Firewall 1 de 
Checkpoint, a squid o ISA Server... 


No me gustan las dedicatorias, pero en este 
caso se merecen... este artículo se lo dedico 
especialmente a mi hijo Oscar, que con sus 
siete años me ha tenido que aguantar 
demasiados fines de semana “enfrascado” en 
el ordenador mientras él jugaba o veía sus 
“pelis” o me "daba la lata” con eso de.... "Papa 
y ahora qué hacemos.... deja ya de trabajar....” 


Mil besos, hijo por tu paciencia y tu cariño. 


Alarma, Alarma... Intrusos !!!! 
Parece obvio y casi todos podríamos dar varias 
definiciones de lo que es una intrusión, yo 
me voy a quedar con dos: 


Intrusión es el acto de entrar en un lugar 
sin invitación o sin ser bienvenido, es como 
colarse en una fiesta privada a la que no 
fuimos invitados. 


En el mundo de las redes, una intrusión 
es simplemente el intento de comprometer 
cualquiera de nuestros dispositivos de red, 
ya sean switches, routers, estaciones de 
trabajo, servidores o cualquier otro medio 
que brinda conectividad o se conecta a la red. 


Visto de ese modo, un IDS podría compararse 
con una alarma antirrobo, detecta las 
intrusiones o accesos no permitidos y hace 
“sonar la sirena”. 


Lo cierto es que un IDS hace algo mas... 
reconoce a los intrusos, los identifica e incluso 
puede parar el ataque, de este modo, un IDS 
es como una alarma antirrobo con cámaras 
de seguridad, junto con un banco de datos 
que reconoce al intruso y con un sistema de 
vigilancia que registra los accesos y envía "la 
policía” a detener al ladrón. 


PC PASO APASO N* 19 


Una de las mejores analogías para describir 
un TDS es la de un antivirus... estos examinan 
los archivos de tu disco duro en busca de 
códigos dañinos, establecen un sistema de 
protección de archivos, memoria y arranque, 
y protege a los archivos en tiempo de 
ejecución. 


Esto mismo es lo que hace un TDS, pero en 
lugar de inspeccionar archivos, particiones y 
bloques de memoria, analizan paquetes de 
datos, analizan el tráfico de la red en busca 
de patrones predefinidos que hagan 
“sospechoso” un paquete de datos a nivel IP 
o MAC. 


Al igual que sus “primos” los firewalls, pueden 
ser Software, Hardware o una combinación 
de ambos, y pueden detectar accesos no 
autorizados desde dentro o fuera de la red. 


Aunque un TDS puede configurarse en el 
mismo sistema donde corre un firewall, un 
servidor, etc.. no es muy recomendable, lo 
más habitual es que el IDS sea un equipo 
independiente puesto que la carga de 
procesador puede ser muy alta si la red es 
muy "parlanchina”. 


Un IDS puedes imaginarlo como un análisis 
de sangre, por el simple hecho de hacerte un 
chequeo no curarás una enfermedad, un IDS 
hará saltar las alertas, avisarte de que estas 
bajo de hierro, que tienes un exceso de 
colesterol o que los trasaminasas están por 
las nubes, “curar” la enfermedad pueden 
escapársele al IDS, puede parar la ingesta 
de alimentos que aumenten el colesterol o 
que dañen el organismo pero realmente no 
cura la enfermedad... 


Para lograr estas proezas, utilizan diversas 
técnicas, desde la “detección de firmas” como 
lo hacen los antivirus, pasando por las huellas 
de ataques conocidos hasta las detecciones 
“anómalas” de tráfico inusual, actividad 
“normal” o “anormal” muy parecido a como 
lo hacen los antivirus con el llamado análisis 
heurístico. 


Página 29 


Seguridad - IDS - Seguridad - IDS - Seguridad - IDS - Seguridad - IDS - Se 


Página 30 


Algunos IDS pueden hasta llegar a 
desconectar el host atacado, incluso aunque 
fuese un router o la puerta de enlace, para 
mantener "el orden” y la seguridad en la red. 


Los TDS funcionan como el análisis forense 
de la escena de un crimen, obtienen las huellas 
dactilares, análisis de ADN, pautas de 
comportamiento, muestras de cabello, sangre, 
etc... de ese modo recomponen "el ataque” 
lo identifican, lo detienen o al menos lanzan 
las alertas. 


IDS hay más de uno... 


Aunque es habitual hacer referencia al IDS 
como el Sistema Detector de Intrusos, 
ciertamente puede ser más sofisticado que 
una máquina perdida por nuestra red.. 
disponemos de tres tipos de IDS, los HIDS, 
NIDS y DIDS, los vemos a continuación: 


> HIDS (HostIDS) esto es, un IDS 
vigilando un único host que observa 
únicamente a ese host, en este caso, 
la tarjeta de red corre en modo no 
promiscuo, es decir, sólo recogerá, 
analizará y detectará paquetes de datos 
que vayan dirigidos a ese host en 
concreto y los paquetes que salgan de 
ese host... bueno algunos otros 
también... 


Su mayor ventaja reside en un uso 
menor de la CPU y en la existencia de 
tarjetas de red que por hardware no 
es posible ponerlas en el modo 
promiscuo. 


Otra ventaja es la de “acotar” las reglas 
de procesamiento de los paquetes a 
analizar, por ejemplo, si instalamos un 
HIDS en un servidor web, podemos 
eliminar del conjunto de reglas ataques 
a otro tipo de servicios y servidores 
como DNS, FTP, etc. 


Modo Promiscuo... 


Modo Promiscuo / Modo No Promiscuo: Si te estás 
preguntando cómo poner una Tarjeta de Red en modo 
Promiscuo, tranquilo, cuando lleguemos a la parte practica 
del artículo lo podrás hacer tu mismo :) 


En la figura 1 
observamos una 
red con 4IDS 
basados en host, 
uno para el 
Servidor Web 
corporativo y 
otros tres para 
equipos 
individuales de la 


LAN. 

> NIDS Serv Mail ServWeb DNS 
(NetworkIDS) o 

IDS basados en SEA 


red. Este tipo de 
sistemas Figura 1. IDS 
detectarán ataques a TODO el segmento 
de la red en el que corre el /DS, la AS 
tarjeta de red del NIDS debe corren 

en modo promiscuo, es decir, 

capturará TODO el tráfico que vaya 

destinado a cualquier equipo del 


segmento de red y no sólo al equipo 
donde se ejecute el NIDS 


La utilización de este sistema debe ser 
autorizado por el administrador y 
monitorizado, puesto que teóricamente 
puede resultar comprometida la red 
completa. Incluso pueden utilizarse más 
de un NIDS para asegurar con mayor 
efectividad todos los host. 


En la figura 2, vemos un sistema IDS 
basado en dos NIDS el primero 
protegería el segmento compuesto por 
el Servidor Web y el Servidor Mail, 
mientras que el segundo protegería a 
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Figura 2. IDS 


basado en red. 
NIDS 


TODO el segmento 
LAN 


PDIDS 
(DistributedIDS) o 
IDS Distribuidos. 
Esto es un sistema 
IDS basado en 
arquitectura 
Cliente/Servidor, 
los NIDS actúan 
como los sensores de 
un sistema de 
alarmas y están 
distribuidos por la 
red, localizan 
ataques, los 
centralizan y pueden almacenar o 
recuperar los datos de una Base de 
Datos centralizada. 


En este modo, las tarjetas pueden 
estar en modo promiscuo o no 
promiscuo, las reglas de cada una se 
hacen "a medida” según las 
necesidades de cada segmento, host 
o red completa, las alertas, las huellas, 
las firmas de ataques, los registros, 
etc., se extraen o vuelcan en un sistema 
central, este tipo de soluciones son 
habituales en arquitecturas del tipo 
VPN (Virtual Private Network, Redes 
Privadas Virtuales) 


Un DIDS puede ser un sistema de 
NIDS, HIDS o una combinación de 
ambos, son soluciones complejas con 
alto grado de seguridad. 


En la figura 3, tenemos un Sistema 
Distribuido IDS, en la que los 3 NIDS 
de red se comunican con el NIDS 
central dónde se almacenan las 
incidencias, logs, etc... 


El uso de un /DS con firewalls y/o routers 
con listas de acceso (ACL's) implementadas 
que permiten o deniegan el tráfico eleva al 
máximo la seguridad en la red, en estos casos 
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un IDS se convierte 
en un analizador de 
los cambios en el 
comportamiento del 
firewall o de las ACL 
de y proveen a los 
mismos de un 
mecanismo de 
auditoria y control. 


Serv Mail Serv Web 


Te estarás 
preguntando 
¿Entonces sí uso un 
IDS puedo pasar del 
firewall? R:NO, el 
firewall bloquea los accesos a puertos no 
permitidos y generalmente cumple bien sus 
cometidos, pero en muchos casos no están 
diseñados para analizar el contenido de los 
paquetes que circulan por los puertos 
autorizados. 


El motivo por el que los firewalls (y sobre todo 
los personales, tipo Zone Alarm, Kerio, etc..) 
no analizan los paquetes es por el alto consumo 
de recursos. El uso de ciclos de CPU es 
extremadamente intenso y el rendimiento del 
equipo sería muy bajo, no digamos nada si 
se trata de un proxy-firewall, deberíamos 
disponer de un "maquinón” para soportar en 
la misma máquina un proxy, un firewall y un 
IDS corriendo a la vez. 


Además, por los puertos permitidos puede 
correr tráfico “enmascarado”, ya sabes, lo de 
tunelizar las conexiones y hacer pasar algo 
por lo que no es. Imagina un servidor de IRC, 
Web, KaZaA o un servidor de mensajería 
instantánea, es posible configurar un IDS para 
detectar e informar de tráfico no "habitual” 
por esos protocolos y puertos. 


Un 7DS puede ser configurado para monitorizar 
una red, pasiva o activamente. En el modo 
pasivo se limitará a registrar los accesos y a 
guardar logs de los mismos, en el modo activo 
puede reaccionar contra la intrusión. 


4-—-—-. 
' NIDS2 


Figura 3 


IDS Distribuido 
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Se pueden monitorizar Servidores de Bases 
de datos (SQL, MySQL, ORACLE...) Servidores 
DNS, Servidores Mail, Servidores de 
administración remoto (VNC, TS, Citrix, 
PcAnywhere...) 


Snort, El espía que me amó.... 


El creador de Snort fue Marty Roesch y en 
un principio lo llamó “Lightweight Intrusión 
Detection System”, (Sistema ligero de 
detección de intrusos), sin embargo, snort 
es todo menos “ligero”. 


Snort es capaz de analizar en tiempo real el 
tráfico de paquetes en un equipo o en una 
red corporativa y además mantener un registro 
de logs e identificar ataques concretos en 
función de su "huella dactilar”. 


Snort puede ejecutarse en multitud de 
Sistemas Operativos, es una distribución 
“Open Source” y bastante común entre los 
administradores de sistemas. 


1 


Si lo deseamos snort puede ser un "simple 
esnifer, es decir, podemos configurar snort 
sin reglas de procesamiento y análisis de 
tráfico. Aunque lo normal es que no sea así, 
una de las más poderosas características se 
snort es la de utilizar registro de sucesos, y 
métodos de alertas volcando sus resultados 
en servidores Syslog ya sea en texto plano, 
archivos XML o incluso enviar mensajes del 
tipo WinPopup a clientes Windows. 


Según las definiciones que hemos ido dando 
anteriormente, snort es una vacuna para los 
paquetes de datos que circulan por la red, es 
un sistema de Rayos X que inspecciona estos 
paquetes, los captura (sniffer) los coloca en 
un contenedor o registro (packet logger) 
y/o los examina en busca de patrones, ataques 
y análisis forense (NIDS) 


Snort es un sistema NIDS, puede analizar 
tráfico IP en busca de “huellas” comunes de 
un ataque, analiza los protocolos 
individualmente, como ejemplo puede detectar 
ataques del tipo Buffer overflow, ataques CGI, 
SMB, RPC o un escaneo de puertos. 


Podemos configurar snort en tres modos 
básicos: 


PbSniffer, como un “simple” 
analizador de protocolos 
b Packet logger, como un capturador 
y “grabador” de paquetes 
PbNIDS, como un sistema de 
detección de intrusos en red 


Lógicamente, configurar snort como un NIDS 
es la forma más compleja y flexible de usarlo. 


Snort se basa en firmas IDS y usa reglas para 
comprobar los paquetes que viajan por la red 
y genera alertas enviándolas a una Base de 
datos, un archivo de sucesos o mensajes 
SNMP. 


Originalmente fue concebido como un esnifer, 
Martín Roesch lo escribió para LINUX y para 
su propio uso, apenas si contaba con 1.600 
líneas de código distribuidas en dos ficheros., 
tras el éxito obtenido y las sucesivas revisiones 
del producto, hoy en día se puede implementar 
en varios sistemas operativos y su código 
asciende a más de 75.000 líneas., hasta 
dispone de plug-ins para bases de datos como 
MySQL o Postgres, para RPC, etc.. hasta plug- 
ins gráficos para una administración "mas 
sencilla” . Igualmente existen plug-ins para 
protocolos específicos, como HTTP, 802.11 
(wireless) ARP, etc... 


Las reglas de snort incluyen diversos tipos 
de servicios, P2P, Backdoors, troyanos y/o 
puertas traseras, Denegación de Servicios 
DoS y DDoS, ataques Web, e incluso algunos 
virus conocidos. 


Si eres un nuevo lector... 


Si eres un nuevo lector de PC PASO A PASO, seguro que 
te desespera leer cosas como MySQL, Postgres, RPC, 
HTTP, 802.11, ARP, P2P, Backdoors, DDoS, DoS. No 
dejes que te atemoricen!!! La mayoría han sido explicados 
ya en anteriores números, de todas maneras ya verás que 
podrás seguir este artículo sin necesidad de ellos :) 


PC PASO APASO N* 19 


reglas. 


Y cómo no... http://www.snort.org/ ---> Para encontra 
documentación, descargas, plug-ins, etc... 


http://www.snort.org/cgi-bin/done.cgi y 
http: //www.snort.org/cgi-bin/needed.cgi --> Índice de 


reglas. 


http://www.snort.org/docs/ ---> Documentación. 


http://www.snort.org/dl/ ---> Descargas. 


Las reglas se organizan por números (los 
llamados SID o SIGS), por ejemplo el Sids 
para los ataques a IIS del bug de unicode 
y otros son 970, 974, 981, 982, 983, 
recuerdas esto de algo, ¿no? (números dos 
y tres de la revista). 


La última versión de snort disponible es la 
2.1.1 aunque algunas herramientas y plug- 
ins están orientadas a la versión 2.0.x con 
pocos cambios y revisar el changelog de la 
página oficial para conocer las mejoras 
implementadas por la versión 2.1.1 podremos 
usarlos. 


Requisitos Hardware y Software 
para Snort 


El otro componente crítico es la tarjeta de 
red, o mejor dicho... “las tarjetas de red....” 
aconsejable dos una para la escucha 
“pasiva” y otra para la conectividad básica 
del segmento de red.... aunque se puede 
implementar en una sola tarjeta de red, no 
es lo ideal. 


Por supuesto la velocidad de la tarjeta de 
red deberá ser acorde con la velocidad 
de la LAN, si instalamos un equipo snort con 
una tarjeta de red de 10 Mbs en una LAN con 
PC's equipados con tarjetas de red a 100 Mbs, 
perderemos paquetes y tendremos resultados 
erróneos. 


No olvides que snort es un programa de 
escucha PASIVO, sólo escucha y analiza... 
una táctica para “ocultar” snort a ojos y 
miradas indiscretas es la de utilizar cableado 
en el que los hilos de transmisión no están 
conectados (snort es pasivo, sólo escucha) 
de ese modo si alguien en la red o fuera de 
ella “busca” el IDS no lo encontrará ya que 
esa máquina no responderá al tener "capada” 
su posibilidad de transmitir. 


Por lo demás, snort no es muy quisquilloso, 
aunque como en todas las aplicaciones de alto 
rendimiento, mejor cuanto más veloz sea el 
microprocesador, mejor 256 MB de RAM que 
128Mb... también dependerá de la plataforma 
elegida... a Windows le gusta mucho la RAM... 


Para los curiosos 


Hardware 


Si configuramos Snort como NIDS, de todos 
los componentes Hard de una máquina, 
debemos pensar en disponer de un buen 
espacio en Disco para almacenar los /logs,. 


En el Disco duro se almacenarán los archivos 
y registros de sucesos, de momento vamos 
a ir pensando en reservar unos 10 GigaBytes 
por cada “sensor” que instalemos en la red. 
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Para los curiosos: ¿Qué es eso de utilizar cableado 
en que los hilos de transmisión no están conectados? 
¿eso existe? :) 


No es necesario disponer de un cable “capado para 
transmitir” para seguir este artículo, pero como 
sabemos que esta revista la compran “mentes MUY 
curiosas”, te invitamos a investigar el tema. 


Actualmente, para conectar los distintos elementos 


de red se utilizan los típicos cables UTP5 y en sus 
extremos clavijas (enchufes) tipo RJ-45 (parecidos 
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a los del teléfono pero más gruesos). Dentro del cable 
UTP5 hay 8 hilos y cada uno tiene su misión, unos 
hilos transmiten, otros reciben, etc. 


TERMINACIÓN RJ-45 


TIPICO CABLE UTP5 


Si eres de los que le encanta el PC-Bricolaje, tu 
mismo puedes hacerte estos cables, consulta en el 
buscador www.google.com por "construir cable 
ethernet" y encontrarás páginas como 
http://www.coloredhome.com/cable cruzado/cable 


cruzado.htm, donde te explica paso a paso el tema. 


A medida que investigues, verás que puedes construir 
cables ethernet "normales" (para conectar los PC al 
Hubs y Switch) y cables ethernet "cruzados" (para 
conectar dos PCs sin necesidad de Hub o Switch, 
directamente de -tarjeta de red- a -tarjeta de red-). 


Después del "paseo" por google, estarás en 
condiciones de crear tu propio cable y crearlo "como 
tu quieras". En nuestro caso concreto, buscamos 
construir un cable ethernet "normal" pero sin conectar 
los hilos 1 y 2 (que son los que transmiten). De esta 
forma tendrás un cable "normal" pero "capado para 
la transmisión" (solo podrá recibir datos). 


Pin1 


ercor E 


1.8 


DETALLE DE UN CONECTOR RJ-45 
Y LA NUMERACIÓN DE LOS HILOS 
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Si no tienes ganas de hacerlo tu mismo, siempre puedes 
ira una tienda de venta de componentes para PC y pedir 
que te hagan un "Cable Ethernet UTP5 RJ45 no cruzado" 
PERO remarcándoles que NO CONECTEN a la clavija 
RJ45 los hilos 1 y 2. Te dirán que entonces el cable no 
funcionará correctamente, diles que ya lo sabes, que lo 
quieres así para que la tarjeta conectada sea incapaz de 


transmitir PERO si de recibir :) 


Ya está, no te damos más la lata. 


Software y Sistema Operativo 


Snort corre en la práctica totalidad de 
Sistemas Operativos modernos, desde los 
basados en x86 como LiNUX, FreeBSD, 
Windows, etc.. hasta otros Sistemas basados 
en Sparc Solaris, PowerPC MacOS, RISC 
HP-UX... 


Las Librerías libcap o WinPcap 


Opcionalmente y dependiendo de la 
configuración de snort puede ser necesario 
disponer de: 


b MySQL, Postgres, ORACLE o bases de 
datos SQL 

b Clientes SMB si usamos mensajería 
WinPopup 

b Servidor Web Apache u otros como 
IIS 

b PHP, Perl para determinados plug-ins 
y add-ons 

bPSSH o Terminal Services para acceso 
remoto 

bMódulos SSL para Apache o IIS 


Medios de red. Switches y Hubs 


La principal diferencia entre un hub y un switch 
estriba en cómo se reparten el cable los equipos 
conectados a los mismos. 


Frecuentemente se dice que las redes 
conectadas con un HUB son redes 
compartidas (Todos los PC's comparten el 
Ancho de banda disponible) mientras que las 
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redes conectadas mediante un switch son 
redes conmutadas (Cada Pc dispone de su 
propio ancho de banda para el sólito). 


En redes compartidas TODOS los equipos 
pueden escuchar el tráfico generado en ese 
segmento, por tanto un equipo con una tarjeta 
en modo promiscuo será capaz de escuchar, 
capturar y analizar "las conversaciones" de 
cualquier otro. 


En redes conmutadas sólo podremos escuchar 
nuestras propias conversaciones y aquellas 
que vallan dirigidas a todos los host (el llamado 
broadcast). 


TIPICO SWITCH DE 24 PUERTOS (24 “ENCHUFES” RJ45) 


Cuando entres... 


Cuando entres en una oficina, en un centro oficial del estado o 


en un hospital, a partir de ahora fijate en los ordenadores, en 
los cables y seguro que acabarás encontrando (normalmente en 
el techo o en una pared) un "Rack de Switches". Estos RACKS 
conectan TODOS los ordenadores del centro y el aspecto es de 
unos cuantos switches apilados y un montón de cables ethernet 


conectados. 


Imagen "bastante extrema" ;) de lo que puedes llegar a ver en 


algunas oficinas. 
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IDS y HUBS 


Los HUB repiten la señal por cada puerto 
excepto por el que ha llegado, es decir, un 
hub propaga TODO por TODAS las bocas o 
puertos disponibles. 


Un HUB trabaja en la capa 1 del modelo 
OSI, trabaja a nivel físico puesto que su único 
cometido es amplificar, regenerar y 
repetir la señal. 


Si conectamos nuestro IDS a cualquier puerto 
de un HUB y ponemos la tarjeta en modo 
promiscuo seremos capaces de analizar TODO 
el tráfico de la red sin problemas. 


La desventaja de usar HUB está en que la 
velocidad de transmisión entre dos puntos de 
la red es inferior a si usamos un switch. 


IDS y SWITCHES 


Los switches se dice que dedican el ancho 
de banda puesto que la comunicación entre 
dos host cualquiera de la red no la 
propaga por otros puertos que no sean 
aquellos en el que están conectados ambos. 


Un switch trabaja en capa 2 del modelo 
OSI, a nivel de enlace de datos, toma 
decisiones en función de la dirección MAC 
de las tarjetas de red y relaciona esas MAC's 
con los puertos físicos a los que están 
conectados en el switch. 


Por ejemplo, cuando un host conectado al 
puerto 1 se comunica con un host conectado 
al puerto 7, el switch conmuta en su interior 
el tráfico y lo hace salir o entrar únicamente 
por los puertos 1 y 7, el resto de ellos ni se 
enteran... 


Cuando un host quiere comunicarse con TODOS 
en un switch, propaga una señal broadcast 
dirigida a todos los host, en esos casos el 
switch se comporta como un hub, pero sólo 
cuando el tráfico de red es broadcast. 
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Si conectamos nuestro 1DS a cualquier puerto 
de un switch y ponemos la tarjeta en modo 
promiscuo sólo seremos capaces de analizar 
el tráfico de la red que vaya dirigido a nuestro 
equipo y/o el tráfico broadcast del segmento 
de red. 


Es decir, si no se pone remedio a este asunto 
snort sólo podría ejecutarse como un HIDS, 
IDS basado en Host, independientemente de 
que la tarjeta esté en modo promiscuo o no. 


Para estos casos y algunos otros también, los 
Switchs disponen de los llamados puertos 
SPAN (Switch Port Analiser, Puerto analizador 
de switch) 


Un puerto SPAN es capaz de escuchar todo 
el tráfico de los otros puertos, como un hub, 
de forma que un 7DS conectado al puerto 
SPAN del switch nos permitirá utilizar snort 
como un NIDS. 


Todavía se puede complicar más... VLAN's , 
switches en stack, en cascada, 
redundantes...bueno, pensemos en un switch 
con puertos SPAN, aunque lamentablemente 
no todos los switches tienen esa capacidad. 
Si ese es tu caso todavía quedan opciones, 
pero degradará enormemente la eficiencia de 
la red, mejor conformarte con instalar un 
snort en modo HIDS o prepara el bolsillo y 
cambia de switch (te saldrá muy caro). 


Arquitectura de Snort 


Antes de empezar con snort es útil conocer 
sus componentes básicos, ya hemos dicho 
que puede ser un esnifer, un generador de 
logs o un NIDS, además le podemos añadir 
un motón de plug-ins para personalizarlo , 
snort se compone de cuatro componentes 
básicos: 


1.- El esnifer 

2.- El preprocesador 

3.- El sistema de detección 

4.- El sistema de salida (Alertas y logs) 


A 
Mi 
mi 


Y 


Realmente el preprocesador, el sistema 
detector y la salida son plug-ins que se 
han añadido como parte del código de snort. 


El módulo Esnifer 


El esnifer captura los paquetes de datos que 
circulan por la red, el prepocesador determina 
si esos paquetes deben ser analizados y los 
pasa al sistema de detección que se 
encargará de comprobar si existen reglas 
específicas para ese tipo de paquetes y en su 
caso las aplica.. Dependiendo de si se cumplen 
o no dichas reglas se generan alertas, 
mensajes, logs, etc.. ese trabajo queda 
destinado para el sistema de salida. 


Si hacemos otra analogía.... pensemos en 
un cajero automático cuando nos disponemos 
a pagar el importe del parking... por la ranura 
introducimos las monedas o billetes (el 
esnifer), el preprocesador dirige esas 
monedas o billetes por los conductos del cajero 
hacia el sistema de detección que analiza 
cada moneda, billete, etc verificando que son 
auténticos, que no hemos "metido otras cosas” 
y aplica las reglas de validación. Cuando 
termina de verificar el dinero emite una salida 
(el sistema de salida) que puede ser el 
cambio, una sirena de aviso, un mensaje de 
que faltan x euros o quedarse con el ticket 
del parking porque le estamos intentando 
engañar :P 


El esnifer puede analizar tráfico IP, TCP, UDP, 
ICMP, protocolos de enrutamiento como RIP, 
OSPF, etc.. 


Los esnifers se pueden usar "para lo bueno 
y para lo malo”, depende de quien lo use. 
Podemos,. desde detectar problemas de 


Figura 4. 
Arquitectura y 


componentes de 


snort 
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comunicación (cuellos de botella, etc) hasta 
capturar contraseñas y datos sensibles... 


Otra forma de usar las capacidades de sniffing 
de snort es volcar o guardar el tráfico 
capturado en tráfico “logueado” para analizarlo 
más tarde. 


El preprocesador 


El preprocesador recoge los paquetes que 
le pasa el esnifer y comprueba si dispone de 
plug-ins para analizar el tipo de paquete, por 
ejemplo HTTP, RPC, SMB, Escaneo de puertos, 
etc.. 


Existen muchos plug-ins para el 
preprocesador de snort, sería imposible 
relatar todos y dar una explicación 
pormenorizada de cada uno de ellos, más 
adelante veremos como usarlos. 


Aunque en los próximos 
artículos hablaremos 
más a fondo del 
preprocesador y el 
sistema de detección, es 
importante ahora que 
conozcas algunos 
términos del mismo. 


Directivas del 
Preprocesador 


Las directivas o reglas 
del preprocesador se nombran de la forma: 
protocolo_decode donde protocolo puede 
ser un protocolo, servicio o directiva a aplicar. 


Figura 5. 
Funcionamiento de 


Preprocesador en 


ejemplo para RPC 


Hay varios, pero los más interesantes son: 


b http_decode para examinar el flujo 
de datos en servidores web y/o 
protocolo http. 

> ftp_decode, para servidores ftp. 


b telnet_decode, protocolo y servicios 
de telnet. 


b rpc_decode, protocolo RPC. 


b frag2, fragmentación de paquetes. 
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b streama4 ó streamb, capaces de 
seguir 64000 conexiones simultáneas 
establecidas. 


b portscan y portscan2, para detectar 
escaneos y detección de sistemas 
operativos. 


Quizás los “más difíciles” de entender 
ahora sean frag2 y stream, hablemos 
de ellos. 


El preprocesador frag2 detecta, 
reensambla e inspecciona paquetes 
fragmentados. 


La fragmentación en el mundo de las redes y 
las comunicaciones es necesaria, los cables y 
medios por los que viajan nuestros datos 
tienen un tamaño máximo determinado (MTU, 
Unidad máxima de Transmisión) y cuando un 
paquete es más grande que la MTU debe 
fragmentarse, trocearse en “cachitos” más 
pequeños para que pueda ser enviado. 


Volvemos con las analogías.... Supongamos 
que nuestra “tía de Badajoz” nos quiere enviar 
un chorizo ibérico... bueno y un salchichón y 
lomo.... ahhgghhh qué hambre me está 
entrando 


Bien, el caso es que la empresa de transporte 
sólo acepta paquetes del tamaño de una caja 
de zapatos... entonces nuestra amada "Tía de 
Badajoz” trocea los embutidos, los mete en 
diferentes cajas, las numera, les pone las 
señas a cada una y las lleva al servicio de 
transporte. 


Nadie nos garantiza que cuando recibamos 
tan estimados y suculentos manjares lo 
hagamos en el mismo orden que salió, es 
probable que recibamos la “caja 6/8” antes 
que la “caja 1/6”, es más... puede ocurrir 
que la empresa de transporte delegue en otra 
el envío y que la nueva empresa utilice un 
MTU más bajo y "“trocee” las cajas en otras 
más pequeñas... 


Este ejemplo nos sirve para entender cómo 
funciona frag2... los sistemas operativos, más 
concretamente /a pila TCP/IP del sistema 
operativo, inspecciona cada paquete, es más, 
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algunos routers o dispositivos de conmutación 
puede enviar los fragmentos “inmediatamente” 
o esperar a recomponer todos... esto parece 
normal, pero.... ¿Y sí "La Tía de Badajoz” 
hace una “gracia” y nos envía el chorizo 
ibérico en paquetes del tamaño de una caja 
de cerillas? 


Pues tendremos miles de trocitos, y ya sabes... 
es más fácil “desordenar” que “reordenar”, 
siempre pongo el ejemplo del puzzle, aun no 
conozco a nadie que sea capaz de montar un 
puzzle de 1.000 fichas en el mismo tiempo 
que yo "mezclo” esas fichas... 


Valeeee, ¿y esto por qué? Pues porque una 
táctica para “mantener” ocupados a los 
servidores, routers, etc.. consiste en 
fragmentar EXCESIVAMENTE los paquetes, 
primero tendrán que esperar a que los reciban 
todos, luego recomponer el mensaje y por 
ultimo ofrecer la respuesta adecuada, esto 
significa, más memoria, más tiempo y 
más trabajo 


Esta misma táctica se utiliza para intentar 
provocar un ataque por denegación de 
servicios a un IDS, a un Firewall, etc... de 
esto es de lo que se preocupa frag2, de 
recomponer los paquetes ANTES de que sean 
enviados al sistema de detección, hablaremos 
de ello más profundamente a medida que 
avancemos, incluso probaremos nuestros IDS 
y nuestros Firewalls con aplicaciones 
específicas... ¿qué te parecería si te enviasen 
12.000 correos diarios "a trozos”? pues eso 
es lo que haremos, enviar miles de paquetes 
por segundo muy, muy, muy fragmentados... 


stream4 o stream5 (la última revisión de 
snort) se ocupa de realizar "un seguimiento 
a cada conexión”, es decir, de monitorizar las 
conversaciones "punto a punto”, por 
ejemplo.... imagina que se detecta un ataque 
a nuestro Servidor WEB (generalmente puerto 
80) por el archiconocido bug del code- 
decode... además de “avisarnos” puede 
“seguir atento” a todas las acciones que 
vengan de la IP “atacante”, incluso podemos 


configurarlo para decirle "Mira a esta IP durante 
1 hora” o "mira lo que hace está IP en los 
próximos 250 paquetes”... 


De hecho stream4/5 puede seguir 
simultáneamente más de una conexión, no 
sólo el puerto 80 como en el ejemplo anterior, 
puede seguir hasta prácticamente la totalidad 
de servicios y puertos disponibles, el único 
inconveniente de ello es el trabajo excesivo, 
duro y difícil que tendrá nuestro PC... para 
esos casos precisaremos de un buen equipo, 
rápido y con suficientes recursos. 


El sistema de detección 


El sistema de detección toma los paquetes 
del preprocesador y/o de los plug-ins instalados 
y los comprueba con las reglas establecidas 
para los mismos, dependiendo de las acciones 
a realizar los dejará pasar, generará alertas, 
registros o incluso detendrá un eventual 
ataque. 


La mayor parte del trabajo y optimización de 
snort se realiza aquí... utiliza funciones y 
reglas agrupadas por categorías (Troyanos, 
desbordamiento de buffer, acceso a 
aplicaciones, etc..) 


El corazón del sistema de detección son 
las reglas, estas las impone el administrador 
y podemos dividirlas en dos partes: 


> Reglas de cabeceras: Basadas en 
la detección de paquetes por tipo (TCP, UDP, 


ICMP....) o por dirección (Origen, destino, 
puerto) 


b Reglas de Contenido: Son reglas que 
examinan el interior del paquete, es decir, el 


contenido de los datos transportados por el 
protocolo. 


b Reglas de Control: Controlan desde 
la dirección del tráfico en la red hasta las 
contramedidas en tiempo real, pasando por 
la monitorización de sesiones, desbordamiento 
de buffers, shellcodes, negación de servicios, 
etc... 
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Siguiendo el ejemplo del cajero 
automático, las reglas de cabecera 
determinarían si se trata de un billete, de 
una moneda o de fraude, mientras que las 
reglas de contenido, descubrirán si la moneda 
es de 1 euro, de 2 euros, etc... 


El sistema de Salida. Registro y alertas. 


Una vez que se inspeccionaron las reglas y 
se validó el paquete algo hay que hacer con 
los resultados, de eso se encarga el sistema 
de salida. 


Las alertas pueden enviarse a un fichero 
de logs, a un equipo remoto mediante sockets 
o mensajes emergentes, traps SNMP e 
incluso se pueden almacenar en una Base 
de datos SQL 


El sistema de salida también dispone de 
plug-ins que simplifican la presentación de 
las alertas en formatos XML, HTML, interfaces 
Web y muchos otros. 


Al igual que los plug-ins del preprocesador 
será imposible detallar o describir todos, cada 
día los desarrolladores de software crean 
nuevos plug-ins, mejoras y nuevas 
visualizaciones, veremos unos cuantos... 
algunos muy interesantes. 


Limitaciones, Bugs y 
actualizaciones 


Como todo software snort es vulnerable y 
no siempre actúa eficientemente, en algunas 
ocasiones se debe a limitaciones en el 
hardware, como puede ser la velocidad de la 
tarjeta de red, agujeros de seguridad que 
permiten "saltarse” el IDS o simplemente la 
generación de falsas alarmas, bien por una 
mala elección de las reglas o por determinados 
paquetes generados en la red. 


Entre los fallos más comunes al usar snort 
están: 
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> Pérdida de paquetes, como ya se 
ha dicho por problemas en la 


conectividad o deficiencias en las 
implementaciones de la pila TCP/IP del 
sistema operativo 


b Falsas alarmas, pueden ser falsos 
positivos o falsos negativos. 


Un falso positivo es una falsa alarma, 
un paquete o conjunto de paquetes que 
disparan una alerta cuando realmente 
son inofensivos. 


Los falsos negativos son paquetes que 
comprometen la estabilidad de snort y 
que no es capaz de detectar, pueden 
ser debidos a errores de implementación 
en las reglas o a ataques contra el propio 
snort por vulnerabilidades descubiertas 


Snort es una GRAN utilidad, no exenta de 
ataques, pero muy, muy eficiente. No obstante 
y como ya estamos acostumbrados a que nada 
es para siempre hay que estar al tanto de 
actualizaciones y mejoras, las revisiones, los 
updates, los parches de seguridad. 


Y no siempre las actualizaciones se deben a 
problemas de seguridad, pueden ser debidas 
a la aparición de nuevas reglas, a cambios de 
sintaxis... en definitiva a mejorar el programa, 
recuerda, la seguridad también consiste en 
mantenerse al día en la aparición de bugs y 
parches para solventar los mismos... 


Instalando Snort 


Ya hemos comentado la versatilidad de snort, 
tanto por sus análisis como por la variedad 
de Sistemas Operativos en los que puede 
ejecutarse... 


En esta sección nos vamos a centrar en la 
instalación de snort para plataformas LINUX 
Red Hat y para Win32, concretamente para 
Windows 2000/XP 


Página 39 


Seguridad - IDS - Seguridad - IDS - Seguridad - IDS - Seguridad - ID 


Página 40 


Para otras distribuciones de LINUX será 
“parecido”, aunque aquí lo instalaremos 
mediante RPM, Esto significa que las distros 
de Red Hat, SuSe, Mandrake, Conectiva, etc 
serán aptas para seguir estos pasos. 


Si usas Debian Gentoo, Slackware u otros 
deberás consultar las diferentes formas de 
instalación, mediante apt-get install/remove, 
emerge o installpkg/removepkg/upgradepkg 


Puedes pasarte por los foros de hackxcrack 
si tienes dudas o no sabes como hacerlo... 
seguro que lo dominas mejor que yo :P para 
los que me conocéis “soy un chico Windows” 
en su 90% de trabajo y creedme que me ha 
costado lo mío ponerme al día con LINUX... 
mereció la pena de verdad. 


Si tienes dudas no lo dudes: 
http://www.hackxcrack.com/phpBB2/index. 
php Mejor aún, actualmente estamos 
desarrollando un proyecto, una LIVE CD, una 
distribución “especial” de LINUX personalizada, 
orientada a Seguridad y en la que muchos 
de los foreros de hackxcrack estamos 
colaborando... esta distribución puede ser 
tuya también, en ella ya figura snort como 
IDS y otras muchas utilidades, paquetes de 
seguridad, una forma fácil y sencilla de seguir 
estos artículos es participar en el Proyecto 
de la Live... es libre, todos aportamos lo que 
podemos, ¿podrás unirte? Te esperamos y te 
necesitamos. 


Volviendo al proceso de instalación.... 


También necesitaremos instalar libpcap y si 
debemos compilar el código fuente 
necesitaremos gcc, automake, autoconf, 
binutils, make... no te asustes... lo haremos 
“paso a paso” ;) 


La instalación de snort en plataformas 
Windows sigue las "directrices de siempre” 
Siguiente-Siguiente-Siguiente... y en este 
caso, en lugar de las librerías libpcap se 
necesitará WinPcap. 


Instalando snort en Windows 


2000/XP 


Lo primero bajarse el J/DS 
http://www .snort.org/dl/binaries/win32/ una 
vez en nuestro PC se instala como la práctica 
totalidad de aplicaciones Windows.... 


Paso 1) Aceptar los Términos de Licencia, 


recuerda que snort es un producto GNU 
Paso 2) Seleccionar la configuración. 


5 Snort 2.1 Setup 


License Agreement 
Please review the license terms before installing Snort. 


Press Page Down to see the rest of the agreement. 


GNU GENERAL PUBLIC LICENSE 
Version 2, June 1991 


Copyright (C) 1989, 1991 Free Software Foundation, Inc. 

59 Temple Place, Suite 330, Boston, MA 02111-1307 USA 
Everyone is permitted to copy and distribute verbatim copies 
of this license document, but changing it is mot allowed. 


Preamble 


_The licenses for most software are designed to take away your 


If you accept all the terms of the agreement, choose 1 Agree to continue. You must accept 
the agreement to install Smort. 


Pantalla 1. Aceptar 
Quizás sea el único paso que merece la pena 
comentar, todas las implementaciones de 
snort para sistemas Win32 incluyen el soporte 
para Bases de Datos MySQL y ODEBC, si 
deseamos mantener los registros y alertas de 
snort en otras Gestores de Bases de Datos 
como SQL Server u ORACLE seleccionaremos 
las opciones 2 ó 3 respectivamente, no será 
nuestro caso, nosotros, cuando llegue la 
ocasión, usaremos MySQL tanto para 
plataformas LINUX o Windows. 


los términos de la 


licencia 


Tal y como indica la pantalla, si deseamos 
usar SQL Server u ORACLE, se debe disponer 
tanto de los Gestores como de los clientes 
necesarios para ellos. 


¿Por qué MySQL? Muchas podrían ser las 
respuestas, principalmente por: 
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> En números anteriores de la revista 
ya se enseñó a instalar y configurar 
MySQL 

b MySQL es muy eficiente y además es 
Libre 

bNo dependeremos de un Sistema 
Operativo en concreto 

b Muchos plug-ins, scripts y programas 
de terceros se brindan con soporte 
MySQL 


Por tanto en la pantalla que sigue escogemos 
la primera opción la cual nos posibilitará 
almacenar logs en Bases de Datos MySQL u 
OBDC. 


Ñ 
| 6% Snort 2.1 Setup: Installation Options 


Installation Options 
Select which configuration options you want installed 


E Ed e 
databases. Please select any additional functionality that you desire. 


(E! do not plan to log to a database, or 1 am planning to log to one of the databases listed 


(OL need support For logging to Microsoft SQL Server. Note that the SQL Server client 
software must already be installed on this computer. 


(O 1 need support For logging de Note that the Oracle client software must already 
be installed on this comput: 


Cancel 


Paso 3) Seleccionar los componentes a 
instalar. 


Pantalla 2. 
Seleccionar el 


gestor de Base de 


Datos y funciones 


Verificamos todos los que aparecen si no lo 
están ya, snort, la documentación y Contrib 
(que contiene plug-ins y añadidos que 
contribuyen al manejo de snort) 


adicionales 


| 5 Snort 2.1 Setup 


Choose Components 
Choose which features of Snort you want to install. 


Check the components you want to install and uncheck the components you don't want to 
install. Click Next to continue. 


Description 
Hover your mouse over 


a component to see ¡ts 
description. 


Select components to install: [2] Sort 
Documentation 


Contrib 


Space required: 8.1MB 


Pantalla 3. 
Seleccionar los 
componentes de 

instalación en 

Windows 
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7 
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Paso 4) Directorio de Instalación. 


Elegimos C:Ysnort como carpeta o directorio 
en donde se instalará snort 


$ Snort 2.1 Setup 


Choose Install Location 
Choose the folder in which to install Snort. 


Setup will install Snort in the following folder. 
To install in a different folder, click Browse and select another folder. Click Next to continue. 


Destination Folder 
CiiSmort 


Space required: 8.1MB 
Space available: 13.6GB 


Pantalla 4. Elegir el 


directorio de 


Paso 5) Finalizar la instalación 


instalación 


$5 Snort 2.1 Setup 


Installation Complete 
Setup was completed successfully. 


Completed 
CO TTT) 


Pantalla 5. Finalizar 


la instalación 


Una vez finalizada la instalación debemos 
instalar las librerías pcap, en Windows, 
WinPcap 


Sólo algunas salvedades.... Las librerías 
Pcap (ya sean libpcap o WinPcap) operan 
en la capa 2 del modelo OSI (enlace a 
datos) y son necesarias para que snort 
capture el tráfico que circula por la red. 


En el caso particular de Windows, puedes 
descargar la última versión de WinPcap en 


http://winpcap.polito.it/ 
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Actualmente está en desarrollo la versión 
3.1 beta de WinPcap, no te recomiendo 
que instales la última, a mi me dio bastantes 
problemas, sobre todo si usamos snort 
directamente sobre equipos con MODEM 
analógico y protocolos ppp. 


Con la versión 2.3 funciona perfectamente, 
si no encuentras en la web oficial 
(http: //winpcap.polito.it/) el link de descarga 
de WinPcap 2.3 puedes bajarlo directamente 
de nuestro Servidor Virtual. 


http://www.forohxc.com/ids/snort/winpcap 
/2.3/WinPcap_2_3.exe 


Los programas... 


Los programas utilizados en el presente artículo también 


pueden ser descargados desde la Web de la revista PC 
PASO A PASO: www.hackxcrack.com (en la sección 
“Artículos Liberados y Descargas”). 


IMPORTANTE 


IMPORTANTE: Antes de instalar las librerías comprueba que 
no tengas otras versiones de la misma instaladas en tu PC, 
muchos esnifers y productos de Windows utilizan WinPcap y 
hasta es posible que ya dispongas de esta u otras versiones sin 
conocerlo... no creo que haga falta decirte a estas alturas como 
se desinstala un software en Windows no? Bueeeeeno, Inicio- 
Configuración-Panel de Control-Agregar o quitar programas... 
busca en la lista si aparece WinPcap y la desinstalas... después 


instalas la que te acabas de descargar. 


La instalación de WinPcaP no tiene ningún 
misterio, es totalmente automatizada y lo 
único que debemos hacer es ir pulsando en 
el botón de Next, Next, Next a medida que 
nos van apareciendo pantallas (y aceptar los 
términos de la licencia cuando aparezca, como 
en la pantalla que se muestra a continuación) 
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18) WinPcap 2.3 setup 


License Agreement 


Please read the following license agreement carefully. 


Please closely read the following license agreement. Do you accept all the terms of the following 
license agreement? 


Copyright (c] 1999-2002, Politecnico di Torino. All rights reserved. A 


Redistribution and use in source and binary forms, with or without modification, are permitted 
provided that: 


1. source code distributions retain the above copyright notice and this paragraph in ¡ts 
entirety 

2. distributions including binary code include the above copyright notice and this paragraph 
in its entirety in the documentation or other materials provided with the distribution 

3. all advertising materials mentioning features or use of this software display the following 
acknowledgement 

“This product includes software developed by the Politecnico di Torino, and its 


aq 


A E . kl Pe Pantalla 6. Aceptar] 
Aunque no lo dice, tras finalizar la instalación e 


mejor reiniciar el equipo.... 


los términos de la 


licencia de WinPcap 


Instalando snort en Li¡NUX desde 
RPM 


Como antes, lo primero el lugar donde 
encontrarlo: 


http://www.snort.org/dl/binaries/LiNUX/ 


Entre todos ellos 


109) http://www.snort.org/dl/binaries/ 
linux/snort-2.1.1-1.1386.rpm 


20) http://www.snort.org/dl/binaries/ 
LINUX/snort-mysql-2.1.1-1.i386.rpm 


Tras descargar snort (los dos enlaces 
anteriores) y alojarlo en el directorio elegido 
podremos instalarlo bien desde consola o 
bien desde X Window 


1.- Desde consola: 
rpm —Uvh snort-mysql-2.1.1-1.i386.rpm 
si lo que deseamos es actualizar una versión 
ya existente, o bien, 
rpm -¡ snort-mysql-2.1.1-1.i386.rpm para 


instalar snort por primera vez. Advierto 
que si ya dispones de una versión instalada 
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y configurada con reglas personalizadas, etc.. 
utilizar este método puede significar perderlo 
todo y empezar de cero. 


2.- Desde XWindow 


Usando escritorios gráficos como KDE, 
GNOME u otros, simplemente hacer doble 
clic en el archivo RPM descargado 


Instalar las librerías PCAP 


Al igual que las versiones Windows, debemos 
de tener las librerías pcap, aquí son libpcap 
y no WinPcap, para que snort funcione 
correctamente. 


Red Hat y otras distribuciones de LINUX ya 
las incluyen en la instalación, si no es tu caso 
o si quieres actualizar la revisión de las librerías 
puedes seguir los pasos que vienen a 
continuación, en caso contrario tu snort ya 
está preparado. 


Las últimas revisiones de libpcap las puedes 
encontrar en http://www.tcpdump.org la 
última revisión en el momento de escribir 
este artículo es la 0.8.1 y la puedes descargar 
directamente de aquí: 


http://www.tcpdump.org/release/ 
libpcap-0.8.1.tar.gz 


Para instalar libpcap desde los archivos fuente 
basta con compilar el código, el único requisito 
es elegir de las utilidades de desarrollo 
(development tools) en la distribución que 
uses. 


En el ejemplo que sigue a continuación 
describe los pasos para instalar libpcap en 
Red Hat 8. 

Necesitaremos: 


gcc, El compilador de C 


automake, utilidad para crear los makefiles 
“al vuelo” 
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autoconf, utilidad para configurar el código 
fuente "al vuelo” 


binutils, utilidades para binarios 
make, utilidad para compilar código individual 
Paso 1) Selección de paquetes de instalación 


Desde el usuario root, seleccionar 
Configuración del sistema - Paquetes 


Y se abrirá el cuadro de diálogo Add or 
Remove Packages 


Paso 2) Mover la barra de desplazamiento 
hasta la sección Development y verificar la 
casilla de verificación Herramientas de 
desarrollo 


MI Gestion de los paquetes 


Add or Remove Packages 


Este grupo de paquetes le permite ejecutar un servidor 
Y 3 SQL en el sistema. 


[4] Servidor de noticias 


Este grupo le permite configurar el sistema como un 
e] ) servidor nuevo. 


] Servidores de red 


Estos paquetes incluyen servidores basados en la red tales 
(33 como CIPE, DHCP, y telnet. 


4] Servidor de la base de datos SQL 15/5] 


113/13] 


Detalles |[a] 


Detalles 


Development El 


[] Herramientas de desarrollo 


Estas herramientas Incluyen herramientas de desarrollo de 
núcleo como por ejemplo automake, gcc, perl, python y 
depuradores. 


AP install these packages to recombile the kernel, 
Tamaño total de la instalación: 3540 Megabytes 


[43/43] — Detalles Ú 


[7] Desarrollo del kernel [a/a] 


Detalles 


Paso 3) Pinchar en Actualización 


El sistema operativo calculará las dependencias 
y paquetes necesarios. 


Paso 4) Si se desea pinchar en Mostrar 
detalles para ver las opciones seleccionadas 


Paso 5) Pinchar en Continuar y el sistema 
procederá a la instalación 

Ahora que el sistema ya tiene los paquetes 
necesarios para ya puedes usar configure, 
make y make install para instalar la librerías, 


Pantalla 7. Añadir 
quitar paquetes y 
herramientas de 


desarrollo 


(Development) 
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acconfig.h 
aclocal.m4 


bpf_dump.c 
bpf_dump.o 
bpf_filter.c 
bpf_filter,o 
bpf_image.c 
bpf_image.o 
CHANGES 
config.cache 
config.guess 
config.h 
config.h.in 


Archivo Editar Ver Terminal Ir 


para ello descomprime el archivo libpcap- 
0.8.1.tar.gz, abre una sesión de consola y 
sigue estos pasos: 


19%) Ejecutar el script ./configure 


./configure es un script que contiene la 
información necesaria de la máquina en la 
que está corriendo, las dependencias, variables 
y verifica el software. 


Ayuda 
config.log grammar.o net pcap-nit.c scanner .c 
config.status grammar.y nlpid.h pcap-nit.h scanner.l 
config.sub inet.c optimize.c pcap-null.c  scanner.o 
configure inet.o optimize.o pcap.o sl1.h 
configure.in — install-sh packaging pcap-pf.c SUNOS4 
CREDITS INSTALL.txt  pcap.3 pcap-pf.h TODO 
cvs 1b1 pcap-bpf.c pcap-snit.c  tokdefs.h 
etherent.c libpcap.a pcap.c pcap-snoop.c VERSION 
etherent.o LICENSE pcap-dlpi.c ppp.h version.c 
ethertype.h l1c.h pcap-enet.c README version.o 
FILES Makefile pcap.h README.aix 
gencode.c Makefile.in  pcap-int.h README. linux 
gencode.h mkdep pcap-linux.c  README.tru64 
gencode.o nametoaddr.c pcap-linux.o  savefile.c 


grammar.c 
[rootéelinux-rh libpcap-0.7.1]% 
[root linux-rh libpcap-0.7.11% ./configurel 


nametoaddr.o pcap-namedb.h savefile.o 


este paso sin errores, el software estará 
instalado y disponible para su uso. 
Otra forma es encontrar un RPM listo para 
instalarse en la distribución que usemos... 
puedes encontrarlas aquí: 


http: //www.rpmfind.net/LiNUX/rem2html/se 
arch.php?query=libpcap 


Y puedes seguir los mismos pasos indicados 
para instalar snort desde RPM para 


J- 5 x]|libpcap. 


A] 


Preparing system update 


few minutes. 


Procesar cabeceras 


Pantalla 8. Listado 
de archivos fuente 
de las librarías 


libpcap para 


plataformas Li 
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También es el responsable de generar los 
makefiles necesarios y en caso que se 
produzcan errores nos avisará de ello. 


20) Compilar el código fuente con make 


make es un comando que existe en la práctica 
totalidad de distribuciones LINUX, no es un 
script como configure, make usará el makefile 
creado por configure y su función es compilar 
el código que será usado durante la instalación 
final, es como un archivo de inicialización y 
al igual que antes en muy importante que no 
se hayan producido errores durante el proceso. 


30 ) Instalar las librerías usando make 


install 


make install, esto es el paso final del proceso. 
Lee la información del makefile creado, la 
distribución que está siendo usada y los 
ficheros ejecutables u otros archivos creados 
en la estructura de directorios. Tras finalizar 


Bueno, también te puede dar por compilar y crear 
los configure-make-make install desde el código 
fuente de snort, eso lo dejo a tu elección... si eres 
un usuario poco avezado en LINUX como lo soy yo... 
será una buena práctica personal y te ayudará a 
resolver otras muchas situaciones cuando se tenga 
que compilar otros códigos fuente, en el próximo 
artículo esta acción será de uso obligado puesto 
que no siempre los binarios se compilaron con todas 
las opciones disponibles ;) 

instalación de snort 


Verificando la 


Plataformas Windows 


Before modifying the packages on your system, package 
dependencies must be determined. This process may take a 


Pantalla 9. 


Instalación desde 


una distribución 
RPM 


No busques 

snort en Archivo Edición Yer Favortos Herramientas Ayuda 
agregar o Qs - > J> Búsqueda [7 Corpetos [7] 
quitar 

programas... e. cinto 

no está allí... 


si has seguido 
los pasos uno 
por uno lo 
tendrás en la 
carpeta snort 
en C:Ysnort 


YD 
JD” 


Pantalla 10. 
Vista de la 
carpeta de 


instalación en 


plataformas 


Windows 
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Esta no es la forma de probar snort, pero al 
menos estamos viendo las carpetas que se 
crearon durante el proceso de instalación y 
un programa unistall.exe para eliminarlo. 


bin están los binarios y programas para ejecutar snort 


doc, la documentación y ayudas 


log, se guardaran los registros de las intrusiones 


Contrib, encontrarás programas y archivos que 
contribuyen o mejoran el funcionamiento 


etc, hay algunos archivos para mantener alertas, reglas, 
pero sobre todo un archivo muy, muy especial... 
snort.conf que es el archivo de configuración del 
programa, algo así como el lugar donde snort acudirá 
para saber en el modo que ha de ejecutarse, las reglas 
que debe incluir, variables, directivas del pre-procesador... 
etc 


rules, se guardan las reglas que se podrán aplicar. 


Plataformas LINUX 


En LINUX los lugares en donde se instala 
snort es diferente... 


/usr/bin/snort están los binarios y programas para 
ejecutar snort 


/usr/share/man/man8/snort.8.gz, la documentación 
y ayudas 


/var/log/snort/, se guardaran los registros de las 
intrusiones 


/etc/snort, está el archivo de configuración y otros 


/etc/snort/rules/ Las reglas 


¿Y qué fue de Contrib? 


Pues en LINUX no se instala a menos que 
descarguemos las contribuciones de terceros: 


http://www.snort.org/dl/contrib/ 
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AUN 


También puedes actualizar las reglas en: 
http://www.snort.org/dl/rules 


También puedes usar whereis para encontrar 
los lugares donde está repartido snort 


A root2 linux-rh:- 
Archivo Editar Ver Terminal lr Ayuda 
[rootalinux-rh root]%* whereis snort 


snort: /usr/sbin/snort /etc/snort /usr/share/man/man8/snort.8.gz 
[rootalinux-rh root]4+ 


En fin, llegados a este punto, ya sea en LINUX 
o Windows, deberíamos tener "a punto” todo 
lo necesario para empezar con nuestro IDS. 


Aunque para este primer artículo no es preciso 
disponer de las aplicaciones que vienen a 
continuación, lo serán más adelante, así que, 
vete instalando si los tienes aún las siguientes: 


b Un Servidor Web, mejor Apache 
aunque uses Windows... aunque también 
puede ser ISS 

b El gestor de Bases de Datos, MySQL 
(imprescindible si instalamos snort con 
soporte MySQL) 

> Intérprete de perl para Windows o 
LINUX 

> Lenguaje PHP para la versión de tu 
sistema operativo. 


Todos estos programas y aplicaciones ya han 
fueron usadas en artículos anteriores en la 
revista, revisa los números donde se hablaba 
de dsniff (en donde se usaba algún que otro 
script en perl) y en el artículo de creación 
de foros phpBB2 (Apache+MySQL+PHP) 


Si no dispones de los programas los 
encontrarás en: 


http://httpd.apache.org/download.cgi 
http://www.php.net/downloads.php 


http: / /www.mysql.com/downloads/in 
dex.html 


http: //www.perl.com/pub/a/language 
/info/software.html 


Pantalla 11. 
Ejemplo del 
comando whereis 


para localizar los 


binarios de snort en| 
LINUX 
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El archivo de Configuración de No es el momento ahora de hablar 
snort: Snort.conf profundamente del mismo, pero es importante 


que modifiques o configures el archivo a las 
características de tu red y preferencias... 


Si editamos el archivo snort.conf veremos 
algo así: 


Snort usa variables para conocer la red, 
máquinas, etc... por omisión los valores son: 


E snort.conf - Bloc de notas 
Archivo Edición Formato Ver Ayuda 


E re) ccueromiza your rule ser Variable name IP Address/Range 

e Step eL: Set the network vartabes: HOME_NET any 

: You must change the following variables to reflect your local network. The EXTERNAL_NET pol 

evartanle is Cuntent ly setup Por an RFC 1918 address space? á DNS_SERVERS S$HOME_NET 

pi You can specify it explicitly as: pi A cdo 

* var HOME_NET 10.1.1.0/24 H SERVERS SHOME_NE 

. NS A A SOL_SERVERS SHOME_NET 

$ Initiaifzed to 1P address and netmask of the network interface mich you run TELNET_SERVERS SHOME_NET 
A a ide SNMP_SERVERS SHOME_NET 

* $(WDeviceWpacket_112345678-90AB-CDEF-1234 567890AB)_ADDRESS) HTTP_PORTS 80 

E Var HOME_NET SethO_ADORESS SHELLCODE_PORTS 180 

* You can specify lists of IP addresses for HOME_NET ORACLE_PORTS 1521 

4 Ey separating the 1Ps with commas Tike this: AIM_SERVERS [64.12.24.0/24,64.12.25.0/24,64.12.26.14/... 
E var HOMENET [10.1.1.0/24,192.168.1.0/24] RULE_PATH ¿rules 

d MAKE SURE YOU DON'T PLACE ANY SPACES IN YOUR LIST! e OS 5 nr 

E Es imprescindible que ahora modifiques las 


* or you can specify the variable to be any IP address 


r c Tabla . Principales 
+ Tike this: 


variables con los valores correspondientes  |lvariables definida 
al entorno que usas, para las prácticas que por snort 
vienen a continuación usaremos este 
escenario: 


var HOME_NET any 


K* set up the external network addresses as well. A good start may be "any" 
var EXTERNAL_NET any 


* Configure your server Tists. This allows snort to only look for attacks to 


Pantalla 12. 
Contenido del 


Red interna: 172.28.0.0 /16 
Red externa: cualquier dirección IP, red o subred 
Servidor web: 172.28.0.99 


Donde está... 


archivo de 


configuración. 


Snort.conf 
¿Dónde está el archivo snort.conf? 


Venga, vale... En Windows hemos instalado el j 0 i 
Al menos tienes que modificar las variables 


SNORT en esisnort ¿verdad?, pues el archivo snort.conf está en la HOME_NET, EXTERNAL_NET, 
carpeta cisnortietcl HTTP_SERVERS. HTTP_PORTS y 
RULE_PATH, para ello busca dentro del 
¿cómo podemos abrir y editar el archivo snort.conf? No, si picas archivo snort.conf las declaraciones de estas 
con el Mouse dos veces sobre el archivo NO SE ABRE, claro, puesto cuatro variables y dales los valores que 
que tiene extensión .conf y nuestro Windows “pasa” de él. Tienes necesiten, obviamente es posible que no 
que abrirlo con cualquier editor de texto plano, por ejemplo el Bloe manejes los mismos rangos de red/subred 
de Notas de nuestro Windows :) que los míos, adáptalos a tu configuración 
personal 


Y para los que crean que no es necesario explicar algo tan básico, 
bufff, tendrían que ver los correos electrónicos que nos llegan a la var HOME_NET 172.28.0.0/16 


editorial ;) var EXTERNAL_NET any 


var HTTP_SERVERS 172.28.0.24 
Es un archivo en texto plano que indica a 


snort cómo debe actuar, las redes de que 
disponemos, las reglas, las variables "de var RULE_PATH ../rules (en Windows) 


entorno”, las directivas del pre-procesador , var RULE_PATH /etc/snort/rules (en LINUX) 
las alertas... 


var HTTP_PORTS 80 
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Vamos a probarlo, escribe snort —W en la 
ventana de comandos y pulsa enter, pongo 
la captura de Windows. 


ystem32wcmd. exe 


vort 


ODBC-”My' 
h 


1. 
www. .datanerda .not/“niko > 
idecraftconsultants.com) 


escription 


e Pa <81P249AF-04B09-4384 ALE D00DF6B93D431> (Rea 
lanily Fast Etherno t NIC 
2D NdisVanIp <N ' 
cket_NdizWanBh <Nd e Adapter? 


1tek RTL9139/810x FP 


CisBnortabin> 


En este caso hay 3, dos para WAN y 1 para 
ethernet... este equipo es un portátil y dispone 
de un MODEM interno que también puede ser 
usado para monitorizar el tráfico con snort. 


Pantalla 14. Mostra] 
los interfaces de red 
disponibles en 


Windows con -W 


Seleccionar la tarjeta de red en ambas 
plataformas se realiza con la opción -i sequida 
del número de tarjeta de red deseada 
(Windows) o —i tarjeta de red (LINUX, p.e. 
—i eth0), tranquilo, ahora lo veremos en la 
practica 2. 


Tampoco puedo ahora extenderme mucho en 
cada una de las opciones, ya sabes... 
problemas de espacio del artículo, por el 
momento veamos estas: 


-D, ejecuta snort como demonio o servicio 

-a, habilita la decodificación de protocolo ARP 

-e, similar a la anterior 

-C decodifica los resultados en caracteres ASCII 
-Y, muestra la decodificación detallada 

-dl, volcado de los paquetes capturados 

-/, indica un directorio donde se guardarán los logs 
-p, inicializa snort en modo no promiscuo 


-N, no guarda logs 

-n, indica que tras n paquetes recibidos se tome una acción, por 
ejemplo terminar snort 

-y, muestra el año junto con la decodificación o logs 
-U, fecha/hora del análisis 

-C indica el directorio del archivo de configuración y sus reglas 
(snort.conf) 


Hay mas.... MUCHAS MAS... las iremos viendo 
a medida que avancemos, y no te equivoques 
en el uso entre mayúsculas y minúsculas, no 
es lo mismo -A que -a 
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Práctica 2. Ejecutar snort como un esnifer 
La forma más simple de ejecutar snort como 


un esnifer de paquetes usando algunas de 
las opciones mencionadas es: 


IMPORTANTE 


IMPORTANTE: 


Antes hemos dicho que mediante la instrucción snort —W 
podríamos visualizar las “tarjetas de red” que tenemos, en nuestro 


caso han sido llamadas por Windows 1, 2 y 3 (pantalla 14). 


Ahora te acabamos de decir que ejecutes la orden snort —dev, 
bien, en este caso “snifaremos” por defecto la tarjeta de red 1. 


Pero en tu caso particular, puedes tener una o dos o tres o 200 
“tarjetas de red” (cada uno tiene el equipo que puede comprar). 
Imagina que en tu caso particular la tarjeta que está conectada a 
Internet es la 2 y queremos “snifar” precisamente esa. En tal caso, 
en lugar de escribir snort —dev deberemos escribir snort —i 2 
—dev (y pulsar enter). 


-12 le dice al snort que “snife” la tarjeta de red número 2 


y podremos ver cosas como estas... 


snort... 


32 Port By Michael D 
2.1 WIN32 Port By Chris Rei S 
.173470 ARP reply 172. 28. 0. 1 


JU: 


ba 00 01 BA HA 00M saAasaAa 0332 30 30 
2 32 38 03 31 37 32 07 69 6É 2D 61 64 64 
72 70 61 00 ON AC AB Bl 


Pantalla 15.Ejemplo 
cuando pulsemos CTRL.+c se detendrá pde salida estándar de 
y mostrará las estadísticas: 00 
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Seguridad - IDS - Seguridad - IDS - Seguridad - IDS - Seguridad - IDS - Segurid: 


De hecho no hubiese sido preciso 
modificar nada, si lo dejamos como está 
funcionarán igual de bien nuestras 
prácticas pero es mejor “delimitar” el 
alcance de snort y empezar a manipular 
el archivo... más adelante será necesario. 


Si te estás preguntando si se pueden indicar 
más de una red interna o externa, más de 
un puerto para el web server, etc... la 
respuesta es SI, sería así: 


var INTERNAL_NETS [172.28.0.0/16,192.168.10.0/24,10.0.0.0/8] 


var HTTP_PORTS 80:85 


Estas líneas definen tres redes internas y le 
dicen a snort que el webserver escucha 
peticiones por los puertos, 80, 81, 82, 83, 
84, 


Ó 85... 


Buff!!!... 


Buff!!!, no puedo, no tengo espacio para explicar lo que 


son las redes, subredes, máscaras de subred, CIDR.... En 
los foros de hackxcrack (www.hackxcrack.com) podremos 
ayudarte, además de varios links ya existentes podemos 

explicártelo un poquito más, ahora no es el momento, por 
otra parte la Revista acaba de iniciar un curso de TCPAP 
que seguro responde a esas dudas, también el los foros 

hicimos un Taller de TCPAP hace unos meses, pásate por 
allí si no sabes cual es el formato CIDR que debes aplicar 


a tu dirección de red... 


Práctica 1. Ejecutar _snort y 
opciones de ejecución 


Lo primero que haremos es ejecutar snort 
"sin más”. 


En LINUX podremos hacerlo simplemente 
escribiendo snort. 


En Windows: 
> Abriremos una de nuestras famosas 
“ventanitas negras” (Ventana de 
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Comandos). Ya se ha explicado mil veces 
Lo > Menu Inicio --> Todos los 
programas --> Accesorios --> Símbolo 
del Sistema 

b Nos situaremos en el directorio de 
instalación (C:1YsnortYbinYsnort, si 
seguiste los pasos indicados 
anteriormente). Ya sabes, escribiremos 
en la ventanita negra la orden cd 
c:XsnortYbinY (y pulsaremos enter) 
Ejecutaremos el programa, ya sabes, 
escribiremos snort (y pulsaremos enter) 


Microsoft Windows XP [Versió 
<C> Copyright 1985-2801 Micr 


CiNDocuments and SettingsNRUBEN>cd c:Nsnortibins 


5.1.26081 
oft Corp. 


C3NSnortibin>snort 


> Snortt <— 
Version 2.1.2-ODBC-MySQL-FlexRESP-1/1N32 <Build 25> 
By Martin Roesch <roeschfBsourcef ire. com, WwWwW.snort.org)> 
d.?7-41N32 Port By Michael eds .net, www.datanerds.net/“mike> 
4.8 - 2.1 WIN32 Port By Chris eidGcodecraftconsultants. com> 
USAGE: snort [-optionsl <filter options 

ort /SERUVICE /INSTALL [-options] <filter options> 
snort /SERUICE /UNINSTALL 
snort /SERVICE /SHOW 

Set alert mode: fast, full, console, or none Calert file ale 

Log packets in tcpdump format “much fastert> 
Use Rules File <rules> 
Print out payloads with character data only (no hex> 
Dump the Application Layer 
Display the second layer header info 
Log alert messages to NT Eventlog. “Win32 only> 
Turn off ff lu > calls after binary log writes 
Read BPF filters from file <hbpf> 
Home network = <hn> 
Listen on interface <if> 
Add Interface name to alert output 
Checksum mode <“all,noip.notcp.noudp.noicmp,none> 
Log to directory <l1d> 
Log to this tcpdump file 
Exit after receiving <Ycnt> packets 
Tuen off logging “alerts still work> 
Change the rule testing or o PassiAlert ¡Log 
Obfuscate the logged IP ad es 
Disable promiscuous mode s 
Set explicit snaplen of packet default: 1514> 
Quiet. Don*t show banner and status report 
Read and proc tcpdump file <tf> 
Include *id* in ort_intf<id>.pid file name 
Log alert messages to syslog 
Set rules file variable n equal to value u 
Test and report on the current Snort configuration 
Use UTC for timestamps 
Be verb 
Show version number 
Lists available interfaces. 


<rules> 


<snap> 


p <tf£> 
<id> 


<n=u> 


<Win32 only> 
Dump 882.11 management and control frames 
Dump the raw packet data starting at the link layer 
Include year in timestamp in the alert and log files 
Set assurance mode, match on established sesions (for 
Show th information 
ETE are standard BPF options, 


TCP> 


<Filter as seen in TCPDump 


Uh, you need to tell me to do something... 
z No such file or directory 


C3NSnortibin> 


Pantalla 13. 


Opciones de línea 


Las opciones y sintaxis con las que se puede 
iniciar snort en ambas plataformas son 
prácticamente idénticas, alguna nueva en 
Windows como -W “en mayusculas” (que 
muestra una lista de las interfaces de red 
disponibles) pero poco más, si todo fue bien 
aparecerá algo así: (pantalla 14) 


de comando para 


ejecutar snort 
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Seguridad - IDS - Seguridad - IDS - Seguridad - IDS - Seguridad - IDS - Seg. 


Y ETS - 5DX 


ex CIWINDOWSWSystem321md.exe 
Archivo Editar Ver Terminal lr Ayuda 


de pS ES qe ho ES Sl 0 Bl US E [rootélinux-rh root]+ snort -de -1 /var/snort_logs 


nort analyzed 8 out of 8 packets, dropping 8(B.BBB/> packe Running in packet logging mode 


d E E 
Breakdown by protocol: Action Stats: Log; divectory (var mort logs 
TCP: 8 <0.B907.> ALERTS: A 
(25 .B0B;.> LOGGED: BM Initializing Network Interface etho 


:8 (8.080) PASSED: 
: (75.00%) 


<0.BBBr.> --== Initializing Snort ==-- 


<B.B0Bz.> Initializing Output Plugins! 
<8.BBBy.> Decoding Ethernet on interface etho 
<8.0BB7> 
<B.A0Bry> 


== Initialization Complete == Pantalla 17. 


Ejecución de snort 


-*> Snort! <*- 
pesca Adal <0.000%> Version 2.1.1 (Build 24) en modo logging o 


Data Packets: <0.BBB> By Martin Roesch (roeschósourcefire.com, www.snort.org) 


registro de paquetes]| 


Fragmentation Sta ES 
Fragmented IP Pac : <0.B0D7.> rn 
Fragment Trac B 


Ahora, desde otro equipo hacemos un ping 
rara a la dirección IP donde está corriendo 
menory fau , AO snort 


<8.BBBr,.> 


ex CAWINDOWSSystem32kcmd. exe 
Haciendo ping a 1 8.0.288 con 32 bytes de datos: 


2 tiempo=ims TTL=64 

2 tiempo<im TTL=64 
tiempo<im TTL=64 Pantalla 18. 

=32 tiempo<ím TTL=64 


ve t fail 
108 .7770800 seconds 


ICiNSnortibin> 


Ejemplo de ping 


de ping para 172.28.0.20B: A 
enviados = 4, recibidos = 4, perdidos = A desde cualquier 


equipo de la red 


Pantalla 16. 


Complicado, verdad? ; : 
Resultado y e ida y vuelta en mi undos: 
imo = 1ms, Media = Bms mnoto equipo dla 


estadísticas tras 
pulsar CTRL.+C 


Ciertamente lo complicado es saber interpretar  [|ADDNILS la red 
la captura del esnifer, no te preocupes por 
ahora si no lo entiendes, de momento lo que Si miramos en el directorio /var/snort_logs, 
importa es que “salgan cosas”, luego veremos veremos esto: 

con más detalle alguna de estas salidas. 


m4 snortlogs 


Le ] Archi Editar Ver 1 Marcad Ayuda 
Para los que hayáis seguido el Taller de TCP/IP Gjciivo Etar ter la Barcadoms “y 


que hicimos en los foros de HackXcrack no <Q 19 Q 1) (62) (8 
ww vw 
e 


tendrá ningún misterio saber interpretar la 
salida del esnifer, los que no lo hayáis hecho 


tendréis dudas... bueno, no importa... en Dirección: |/var/snort_logs = 100 + 


estos momentos la revista está siguiendo un 


Atrás Adelante Amba Detener Recargar Inicio 


curso de TCP/IP, esto te ayudará y también 5 (A 
estos mismos artículos cuando llegue el | 
momento. 172.28.0.200 172.28.0.50 
1 elemento 1 element Pantalla 19. Vista y 
a E tenido del 
Práctica 3. Ejecutar snort como o 
irectorio de logs 
un capturador de logs tras la detección de 


paquetes 
Bueno, esta la vamos a hacer desde LINUX... 
para que no me digan luego que "todo es 
Windows”, lo único que tendremos que hacer 
es indicarle a snort donde debe guardar los 
registros y que ese directorio exista, claro... 


Verás que se crearon varias carpetas... 
snort generará una por cada dirección IP que 
registre (172.28.0.50 la del equipo que hizo 
el ping, etc...) 


snort-de —I /var/snort_logs A IONES: 
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KI 172.28.0.50. 
Archivo Editar Ver Ira Marcadores Ayuda 


€. rr OQ 0/2 


r 
- 
Atrás Adelante Arriba Detener Recargar Inicio O 


Dirección: |/var/snort_logs/172.28.0.50 | == [1007 + 


03/22 


ICMP_ECHO 
1.6 K 


«172.28.0.50» seleccionado (contiene 1 elemento) 


Pantalla 20. 


Contenido É e 
Hay un archivo que corresponde a la petición 


echo (la solicitud del ping) 


específico de una del 
las carpetas de 


registro 


(Y ICMP_ECHO 
Archivo Editar Ver Ira Marcadores Ayuda 


€.» * Y) 0 2 


Atrás Adelante Arriba Detener Recargar Inicio 


Dirección: |/var/snort_logs/172.28.0.50/ICMP_ECHO 


03/22-14:41:20.972461 0:0:39:C1:6A:C2 -> 0:5:1C:8:AE:7C type:0x800 ad 
len:0x4A 

172.28.0.50 -> 172.28.0.200 ICMP TTL:128 TOS:0x0 ID:511 IpLen:20 
DgmLen:60 

Type:3 Code:0 ID:512 Seq:256 ECHO 

61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6E 6F 70 abcdefghijklmnop 
7172737475 76 77 61 62 63 64 65 66 67 68 69 qrstuvwabcdefghi 


A 
doo =+4 


03/22-14:41:21.974757 0:0:39:C1:6A:C2 -> 0:5:1C:8:AE:7C type:0x800 
len:0x4A 

172.28.0.50 -> 172.28.0.200 ICMP TTL:128 TOS:0x0 1D:512 IpLen:20 
DgmLen:60 

Type:3 Code:0 ID:512 Seq:512 ECHO 

61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6E 6F 70 abcdefghijklmnop 
7172737475 76 77 61 62 63 64 65 66 67 68 69 qrstuvwabcdefghi 


di dd ad 
Hs+=+=+=+=+=+=4+=4 


03/22-14:41:22.978112 0:0:39:C1:6A:C2 -> 0:5:1C:8:AE:7C type:0x800 


Pantalla 20. 


Contenido 


Práctica 4. snort como un NIDS 
usando alertas y reglas 


específico de una del 


las carpetas de 


registro 


Bueno, me quedo sin espacio... o ya me he 
pasado..., vamos a realizar una práctica 
global que monitorice las peticiones ping 
a cualquier equipo de la red, nos alerte 
de ello y dispare alarmas ante un posible 
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acceso mediante el bug de unicode a 
nuestro servidor web, ya sabes... el bug de 
code-decode tan “pasado” y ampliamente 
comentado en esta revista y en los foros, pero 
es algo a lo que “ya estamos habituados” y 
sabemos como funciona... ya verás, ya... hay 
muchas otras vulnerabilidades que pueden ser 
descubiertas gracias a snort y no me refiero 
sólo a las de los servidores web.... ftp, telnet, 
rpc, netbios.... 


Esta práctica no la detallaré... tendrás que 
tener Fé, confiar en lo que ponga y repetir lo 
mismo... es una introducción a lo que nos 
vendrá mas tarde: 


Disponemos de un sistema snort corriendo en nuestra 
red interna 172.28.0.0/16 que vigila desde un equipo 
LINUX RH8 de ip 172.28.0.200 y un servidor web 
con dirección 1P 172.28.0.99, lo que pretendemos es 
registrar los pings a cualquier equipo de la red y los 
intentos de explotar el bug de unicode. 


Un dato importante... no es preciso que el 
webserver sea vulnerable... snort recogerá 
los intentos sea o no sea vulnerable al "acceso 
transversal al sistema de archivos”, Debemos 
tener el archivo snort.conf bien configurado 
y hay que aplicar alguna regla... 


Pantalla 22. Definir 


un archivo de reglas 


Paso 1) Crear un archivo de texto el cual 


contiene las reglas de nuestro escenario: 
personalizado 


var/snortlogs/reglas bug. codedecode - gedit 


Archivo Editar Yer Buscar Documentos Ayuda 


DGO *- 1/9; 2. € 


Nuevo Abrir Guardar Cerrar Imprimir Deshacer Ke! 


£ B| » 


Cortar Copiar Pegar Buscar 


alert tcp $fEXTERNAL_NET any -> $HTTP_SERVERS $fHTTP_PORTS 
(msg: "115 Intento de acceso al sistema de archivos" ;£low: 
to_server, established; content:"|2e2e5c2e2e|";) 


alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS 
(msg:"118 Intento de acceso por unicode"; flow:to_server, 
established; content:"/..%c0taf../"3) 


alert tcp $SEXTERNAL_NET any -> S$SHTTP_SERVERS S$SHTTP_PORTS 
(msg:"115 Intento de acceso por unicode"; flow:to_server, 
established; content:"/..telkile../";) 


alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS 
(meg: "1182 Intento de acceso por unicode"; flow:to_server, 
established; content:"/..%*c1l%9c../"5) 


alert tcp $fEXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS 
(msg:"1135 Intento de acceso por doble decodificacion"; flow: 
to_server,established; content:"/..%2550.."5) 


10 
lldalert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"111 
Descubierto PING 111"; itype: 8) 


Ln 11, Col. 90 


PC PASO APASO N* 19 
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Y lo guardaremos en algún lugar de nuestro 
disco, elegí /var/snort_logs/ puede ser 
otro siempre y cuando el archivo de 
configuración apunte a ese directorio, el 
nombre de ese archivo será 
reglas.bug.codedecode, puede ser otro 
también... y como antes debe corresponderse 
con la información que demos en el paso 
30) 


Escribe todas esas reglas en una sola 
línea. 


A poco que seamos algo espabiladillos 
entenderemos las reglas... pero no te 
preocupes si no las "cazas” ahora, esto es 
parte de próximos artículos... 


Paso 2%) Renombraremos el archivo de 
configuración situado en 
/etc/snort/snort.conf como 
/etc/snort/snort.conf.old (En Windows 
está situado en C:1snortletcAsnort.conf) 


Y -. DD X 
Archivo Editar Ver Ira Marcadores Ayuda 
6,9 ,* 0 0/2 ¡0 
Atrás Adelante Amba Detener Recargar Inicio 
Dirección: |/etc/snort = [100 + | Vercomoiconos Y 
generators.rpmnew reterence.contig reterence.contig. [a] 
1.6 K 608 byte rpmnew 
608 bytes 
— “== 
eo 2 mm 
rules snort.conf.rpmnew 
8 elementos 2.0 E 
$ Con 2 Con Wim 
te == tom + OE) 
threshold.conf threshold.conf.rpmnew unicode.map » 


Pantalla 23. 


Cambiar de nombre [COn esto conseguiremos no perder el archivo 


el archivo de original 


configuración a 


snort.conf.old Paso 3%) Crear el nuevo archivo de 
configuración en el directorio de ejecución 
del programa... para LINUX el lugar será 
/etc/snort y para Windows será 


C:1snortYetc! . 


El archivo a crear se llamará snort.conf y 
tiene este contenido: 
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Archivo Editar Yer Buscar 


jec/snorusnortcont- gedit 
Documentos Ayuda 


Ba, s 


Imprimir [ 


x 


1; Cerrar 


Deba e 


Nuevo Abrir 


£ BI » 


Cortar Coplar Pegar Buscar 


0O030n YN 


reglas.bug.codedecode | snort.conf | 


1 lar HOME_NET 172.28.0.0/16 


var EXTERNAL_NET any 

var RULE_PATH /var/snort_logs 

var HTTP_SERVERS $HOME_NET 

var HTTP_PORTS 80 

preprocesgor frag2 

preprocessor streamí: disable evasion_alerts 
preprocessor streamí_reassemble 

include $RULE_PATH/reglas.bug.codedecode 


Pantalla 24. 
Creación y 


TEME! contenido del nuevo 


a : archivo de 
Este sí que lo vamos a comentar algo mas 


porque “pertenece” al contenido de este 
artículo: 


configuración: 


snort.conf 


Línea 1 indica la red en 
(172.28.16.0.0/16) 


la que estamos 


Línea 2, la red externa... cualquiera (any) 
Línea 3, el camino que apunta al archivo o archivos 
de reglas (este debe ser el mismo directorio en donde 
guardamos las reglas establecidas en el paso 10) 


Línea 4 y línea 5, indican la dirección IP y puerto de 
nuestro servidor web, observa que se puso 
$HOME_NET como dirección IP. Es decir, snort 
monitorizará cualquier servidor web de la red 172.28.0.0 
/16 


Líneas 6, 7 y 8, incluyen las directivas del 
preprocesador, sólo hacemos referencia a frag2 y 


stream4, recuerda lo que se dijo al principio de ellos y 
para lo que servían. 


Línea 9, indica cual será el o los archivos de reglas 
a aplicar, cada archivo de reglas debe nombrarse con 
un include por archivo, en nuestro caso, sólo hay un 

archivo de reglas. 


Paso 40) Ejecutaremos snort indicándole la 
forma de aplicar esas reglas... 
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Paso 60) Situación de alertas y logs 


La opción -I le sigue un directorio dónde se guardarán 
los logs, como en la práctica número 3 pero a diferencia 
de ella, ahora sólo aplicará las reglas establecidas y por 
tanto sólo registrará aquello que tenga que ver con esas 
reglas, además cuando se descubra una alerta creará un 
archivo de texto llamado alerts que guardará los registros 
de las mismas. (si lo pruebas en plataformas Windows, 
ese archivo se llamará alerts.ids 


Veamos que ocurrió en el directorio 
/var/snort_logs donde está ejecutándose 
el IDS.. 


Lo primero que vemos es que se crearon una 
carpeta (172.28.0.50, que corresponde a 
la IP del equipo "atacante” ) y un archivo 
alert que guarda las alarmas. 


Otra diferencia es que omitimos el parámetro —v 


y no se mostrará nada por pantalla, luego te toca practicar hd snortlogs 

en casa con algunas de las opciones que vimos... es NA A 

mejor no indicar la opción verbose (-v) puesto que así €.» _rQ Y 2 

no cargamos de trabajo extra a snort y a nuestra Atrás Adelante Amiba Detener Recargar Inicio 

máquina... Dirección: | /var/snort_logs = [100 + | Vercomoiconos * 
Paso 50) Accesos pre 2n059 >> 


Pantalla 27. 


Situación del 
Sólo nos queda probar a ver que pasa... así IN SS 
a registros e logs 
que vamos a coger otro equipo y 
“navegaremos” hacia el servidor web 


Archivo Editar Ver Ira Marcadores Ayuda 


intentando un acceso por unicode... luego $6,» * Q 01% a 
veremos que ocurrió: Atrás A Amba Recargar Inicio - => 
Dirección: /var/snon_logs/alen | Ver como texto El 

[**] [1:0:0) 11S Intento de acceso por doble decodificacion [**] [a 


http://www. google.com! - Microsoft Internet Explorer tal: [Priority: 0] | 
03/22-22:29:55.539982 0:0:39:C1:6A:C2 -> 0:10:60:5C:6B:13 type:0x800 len:0x1F2 | 
172.28.0,50:3444 -> 172,28.0.99:80 TCP TTL:128 TOS:0x0 1D:41297 IpLen:20 DgmLen:484 DF| | 


IN Archivo Edición Yer Esworkos Herramientas Ayude 


hi] » Ap** Seq: 0x57FE0B13 Ack: 0x1C9D2985 Win: 0x4470 T: 20 - 
EA SO riada 7 rav Qirtmeda E Seg: 0x57FE08, x1C9D2985 Win cpLen TE, 
»s ». antalla 28. 
Htp://172.23,0,99/scngts).. 255, AZSS WAR sy ctem3z/cnd.exer[cadr+e > E inci [*) (2:0:0) ¡yy Descublerto PING 111 (*] P 
(Priority: 0] Cambiar de nombre 


03/22-22:30.03.311173 0:0:39:C1:6A:C2 -> 0-10:60.5C:6B:13 type:0x800 len;0x4A É 
172.28.0,50 -» 172.28.0.99 ICMP TTL:128 TOS:0x0 1D:41300 IpLen:20 DgmLen:60 el archivo de 
Type:8 Code:0 1D'512 Seq:14848 ECHO 


configuración a 


3 snort.conf.old 
Sto Web encontrado. Esperando respuesta... 


Fanta A slición Como verás aparecen las alertas del intento 
web para explotar ell Desde otro equipo o desde el mismo hacemos de explotación tal y como definimos en las 

bug de unicode : 20 : . 
> un ping para probar la regla de ICMP.... reglas y también el/los pings realizados contra 


desde un equipo ] 
el servidor web 


cualquiera de la red 


pe 172.28.0.50 
Archivo Editar Ver Ira Marcadores Ayuda 


€ >» 20 ,m 


Atrás Adelante Arriba Detener 


es CAWINDOWSSystem32Vemd, exe 


Haciendo ping a 172.28.0.99 con 32 hytes de datos: 


.0.99: hytes=32 tiempo<in TTL=128 
.0.99: 2 tiempo<in TTL=128 
.0.99: h 2 tiempo<in TTL=128 

99: Y tiempo<im TTL=128 


Dirección: ).50 — [5003 + | Ver como iconos >] 


de ping para 1 8.0.99: 
viados = 4, recibidos = 4, perdidos Pantalla 25. Petición 
), , 

imados de ida y vuelta en milisegundos: ICMP eco (ping) 

Ons, Máximo = Uns, Media = Bns 


: Pantalla 29 


I¡CMP_ECHO 
17h 


Contenido de la 


e ta de IP”: 
desde un equipo carpeta de IP's 
logeadas 


C:NSnortibin> cualquiera de la red 
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Seguridad - IDS - Seguridad - IDS - Seguridad - IDS - Seguridad - IDS - Seguridad'- 1D- Seguridad 


Los dos archivos que contiene esta carpeta ; ES 
guardan información detallada acerca de cada | archivo Editar Ver Ira Marcadores Ayuda 


una de las acciones, ICMP_ECHO se 4,9 ,* 0.01% 0] 
corresponde con el ping y TCP:3444-80 Atrás — Adelante  Amiba Detener Recargar Inicio 
es la información detallada del intento Dirección: |/var/snortJogs/172.28.0.50/TCP:3444-80 | Vercomotexto * 


Pantalla 30. por unicode [**] 115 Intento de acceso por doble decodificacion [**] 
03/22-22:29:55.539982 0:0:39:C1:6A:C2 -> 0:10:60:5C:6B:13 type:0x800 len:0x1F2 
172,28,0,50:3444 -> 172.28.0.99:80 TCP TTL:128 TOS:0x0 1D:41297 IpLen:20 DgmLen:484 DF 
P , pr »Ap»e Seq; OXS7FEOB13 Ack: Ox1C9D2985 Win: 0x4470 TcpLen: 20 

Así que terminemos el artículo y veamos el [474554202 73637269 7074 73 2F 2E 2E 25 GET /scipts/..%% 
contenido de ambas: 32 35 35 63 2E 2E 25 32 35 35 63 77 69 6E 6E 74 255c..%255cwinnt 

. 2F 737973 74 65 6D 33 32 2F 63 6D 64 2E 65 78 /system32/cmd.ex 
65 3F 2F 63 2B 64 69 72 2B 63 3A 2048 54 54 50 e?/cedir+c: HTTP 
2F 31 2E 31 0D 0A 41 63 63 65 7074 3A 20 69 6D /1.1..Accept: im 
61 67 65 2F 67 69 66 2C 20 69 6D 61 67 65 2F 78 agelgif, image/x 
2D 78 62 69 74 6D 61 702C 2069 6D 61 67 65 2F -xbitmap, Image/ 
6A 70 65 67 2C 20 69 6D 61 67 65 2F 706A 7065 jpeg, image/pjpe 
67 2C 20 61 70 706C 69 63 61 74 69 6F 6E 2F 78 q, application/x 
2D 73 68 6F 63 6B 77 61 76 65 2D 66 6C 61 73 68 -shockwaveflash 
2C 2061 70706C 69 63 61 74 69 6F 6E 2F 76 6E , application/vn 
64 2E 6D 73 2D 70 6F 77 65 72 706F 69 6E 74 2C d.ms-powerpolnt, 
2061 70706C 69 63 61 74 69 6F 6E 2F 76 6E 64 application/vnd 
2E 6D 73 2D 65 78 63 65 6C 2C 2061 7070 6C 69 .ms-excel, appll 
63 61 74 69 6F 6E 2F 6D 73 77 6F 72 64 2C 20 2A cation/msword, * 
2F 2A 0D 0A 41 63 63 65 70 74 2D4C 61 6E 6775 /'..Accept-Langu 
61 67 65 3A 2065 73 0D 0A 41 63 63 65 7074 2D age: es..Accept- 
AS GE 63 6F 64 69 6E 67 3A 2067 7A 69 70 2C 20 Encoding: gzip, Pantalla 31 
64 65 66 6C 61 74 65 0D 0A 55 73 65 72 2D 41 67 deflate..User-Ag 5 
65 6E 74 3A 204D 6F 7A 69 6C 6C 61 2F 34 2E 30 ent: Mozilla/4.0 Contenido del 
20 28 63 6F 6D 7061 74 69 62 6C 65 38 204D 53 (compatible; MS 
49 45 20 36 2E 30 38 20 57 69 6E 64 6F 77 73 20 1E 6.0; Windows paquete 
AE 54 20 35 2E 31 3B 20 2E 4E 45 54 2043 4C 52 NT 5.1; NET CLR 
20 312€ 302£ 33 37 30 35 3B 20 2E 4€ 45 5420 1.0.3705; .NET 
43 4C 52 20 31 2E 31 2E 34 33 32 32 29 0D 0A 48 CLR 1.1.4322)..H intento <plotar 
6F 7374 3A 20 31 37 32 2E 32 38 2E 30 2E 39 39 ost: 172.28.0.99 
0D 0A 43 6F GE 6E 65 63 74 69 6F 6E 3A 204B 65 ..Connection: Ke 
65 70 2D 41 6C 69 76 65 0D 0A 0D 0A ep-Alive.... 


Contenido del 
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€, 9,0 01% O 


Atrás Adelante Ariba Detener Recargar Inicio 


Dirección: |/var/snort_logs/172.28.0.50/ICMP_ECHO 


[**] ¡¡¡ Descubierto PING !!! [**] 

03/22-22:30:03.311173 0:0:39:C1:6A:C2 -> 0:10:60:5C:6B:13 type:0x800 len:0x4A 
172.28,0,50 -> 172.28,0.99 ICMP TTL:128 TOS:0x0 1D:41300 IpLen:20 DgmLen:60 
Type:8 Code:0 1D:512 Seq:14848 ECHO 

61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6E 6F 70 abcdefghijklmnop 
7172737475 76 77 61 62 63 64 65 66 67 68 69 qrstuvwabcdefghi 


ondiente al 


el bug de unicode 


id o dm ds, (v] 


VIA VOZ 
reduce los costes 
en llamadas 

sin cambiar 

de teléfono y 
sin coste de 
establecimiento 
de llamadas o 
franquicias. 


> 
== 


+ 902 232 233 
comercialOvianetworks. 
WAY networks IS E 


INEA DL 


¡Pague sólo 
por lo que hable! 


Seguridad - IDS - Seguridad - IDS - Seguridad - IDS - Seguridad - IDS - Seguri 


Ya sé que ha sido “excesiva” la profusión de 
pantallas, comentarios y otras “lindezas” pero 
es mejor ahora que luego... y en estos casos: 
mejor pecar en exceso que quedarse con mil 
dudas, en los próximos números no será "tan 
minucioso” el análisis, puesto que ya 
tendremos cierta experiencia y además habrás 
tenido mucho más tiempo para practicar con 
snort. 


Espero que todo se haya entendido 
correctamente, nos queda un largo trecho y 
la parte más complicada de snort, definir 
reglas, contramedidas ante los ataques, 
informes, plug-ins de salida, etc.. todo ello 
en su conjunto hará nuestra vida por la red 
más segura y si después de todo ello 
implementamos un firewall en condiciones, 
será bastante difícil que nos invadan las malas 


compañías. 


Un saludo. 


¿QUIERES COLABORAR CON PC PASO A PASO? 


PC PASO A PASO busca personas que posean conocimientos de 
informática y deseen publicar sus trabajos. 


SABEMOS que muchas personas (quizás tu eres una de ellas) han creado 
textos y cursos para “consumo propio” o “de unos pocos”. 
SABEMOS que muchas personas tienen inquietudes periodísticas pero 


nunca se han atrevido a presentar sus trabajos a una editorial. 


SABEMOS que hay verdaderas “obras de arte” creadas por personas 
como tu o yo y que nunca verán la luz. 


PC PASO A PASO desea contactar contigo! 


NOSOTROS PODEMOS PUBLICAR TU OBRA!!! 


SI DESEAS MÁS INFORMACIÓN, envíanos un mail a 
empleodeditotrans.com y te responderemos concretando nuestra oferta. 


ha habilitado tres 


- Hack x Crack 
servidores para que puedas realizar las 
prácticas de hacking. 


- Las IPs de los servidores de hacking las 
encontrarás en EL FORO de la revista 


(www.hackxcrack. Si Una vez en el foro entra 
en la zona COMUNICADOS DE HACK X CRACK (arriba del 
todo) y verás varios comunicados relacionados con los 
servidores. No ponemos las IP e porque es bueno 
acostumbrarte a entrar en el foro y leer los comunicados. 
Si hay alguna incidencia o cambio de IP o lo que sea, se 
comunicará en EL FORO. 


- Actualmente tienen el BUG del Code / 


Decode. La forma de “explotar” este bug la explicamos 
extensamente en los números 2 y 3. Lo dejaremos así por 
un tiempo (bastante tiempo ;) Nuestra intención es ir 
habilitando servidores a medida que os enseñemos distintos 
tipos de Hack. 


- En los Servidores corre el Windows 2000 con el IIS 
de Servidor Web. No hemos parcheado ningún bug, ni 
tan siquiera el RPC y por supuesto tampoco hemos instalado 
ningún Service Pack. Para quien piense que eso es un error 
(lógico si tenemos en cuenta que el RPC provoca una caída 
completa del sistema), solo decirte que AZIMUT ha 
configurado un firewall desde cero que evita el bug del 
RPC, (bloqueo de los puertos 135 (tcp/udp), 137 (udp), 
138 (udp), 445 (tcp), 593 (tcp)). La intención de todo esto 
es, precisamente, que puedas practicar tanto con el 
CODE/DECODE como con cualquier otro “bug” que conozcas 
(y hay cientos!!!). Poco a poco ¡iremos cambiando la 
configuración en función de la experiencia, la idea es tener 
los Servidores lo menos parcheados posibles pero 
mantenerlos operativos las 24 horas del día. Por todo ello 
y debido a posibles cambios de configuración, no a 
visitar el foro (Zona Comunicados) antes de “penetrar” 
nuestros servidores. 


- Cada Servidor tiene dos unidades (discos duros duros): 
* La unidad c: --> Con 40GB y Raíz del Sistema 

* La unidad d: --> Con 40GB 

* La unidad e: --> CD-ROM 


Nota: Raíz del Servidor, significa que el Windows Advanced 
Server está instalado en esa unidad (la unidad c:) y 
concretamente en el directorio por defecto Wwinntl 
Por lo tanto, la raíz del sistema está en c:winntl 


- El IIS, Internet Information Server, es el Servidor de 
páginas Web y tiene su raíz en c:linetpub (el directorio 
por defecto) 


Nota: Para quien nunca ha tenido instalado el IIS, le será 
extraño tanto el nombre de esta carpeta (c: Vinetpub) como 
su contenido. Pero bueno, un día de estos os enseñaremos 
a instalar vuestro propio Servidor Web (IIS) y detallaremos 
su funcionamiento. 


De momento, lo único que hay que saber es que cuando 
TU pongas nuestra IP (la IP de uno de nuestros servidores) 
en tu navegador (el Internet explorer por ejemplo), lo que 
estás haciendo realmente es ir al directorio 
c:YInetpubiwwwroot1 y leer un archivo llamado default.htm. 


Nota: Como curiosidad, te diremos que APACHE es otro 
Servidor de páginas Web (seguro que has oído hablar de 
él). Si tuviésemos instalado el apache, cuando pusieses 
nuestra IP en TU navegador, accederías a un directorio 
raíz del Apache (donde se hubiese instalado) e intentarías 
leer una página llamada index.html ... pero... ¿qué te 
estoy contando?... si has seguido nuestra revista ya 
dominas de sobras el APACHE ; 
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Explicamos esto porque la mayoría, seguro que piensa en 
un Servidor Web como en algo extraño que no saben ni 
donde está ni como se accede. Bueno, pues ya sabes dónde 
se encuentran la mayoría de IIS (en Vinetpubl) y cuál es 
la página por defecto (Yinetpublwwwrootidefault.htm). Y 
ahora, piensa un poco... ... ¿Cuál es uno de los objetivos de 
un hacker que quiere decirle al mundo que ha hackeado 
una Web? Pues está claro, el objetivo es cambiar (o sustituir) 
el archivo default.html por uno propio donde diga "hola, 
soy DIOS y he hackeado esta Web” (eso si es un lamer ;) 


A partir de ese momento, cualquiera que acceda a ese 
servidor, verá el default.htm modificado para vergúenza del 
“site” hackeado. Esto es muy genérico pero os dará una 
idea de cómo funciona esto de hackear Webs ;) 


- Cuando accedas a nuestro servidor mediante el CODE / 
DECODE BUG, crea un directorio con tu nombre (el que mas 
te guste, no nos des tu DNI) en la unidad d: a ser 
posible y a partir de ahora utiliza ese directorio para hacer 
tus prácticas. Ya sabes, subirnos programitas y practicar 
con ellos :) ... ... ¿cómo? ¿que no sabes crear directorios 
mediante el CODE/DECODE BUG... repasa los números 2 y 
tres de Hack x Crack ;p 


Puedes crearte tu directorio donde quieras, no es necesario 
que sea en d:imellamojuan. Tienes total libertad!!! Una 
idea es crearlo, por ejemplo, en 
d:boodsystem321default1100199011mellamojuan (ya irás 
aprendiendo que cuanto mas oculto mejor :) 


Es posiblemente la primera vez que tienes la oportunidad 
de investigar en un servidor como este sin cometer un delito 
(nosotros te dejamos y por lo tanto nadie te perseguirá). 
Aprovecha la oportunidad!!! e investiga mientras dure esta 
iniciativa (esperemos que muchos años). 


- En este momento tenemos mas de 600 carpetas de peña 


que, como tu, está practicando. Así que haznos caso y crea 
tu propia carpeta donde trabajar. 


MUY 


IMPORTANTE... 


del Servidor si no sabes exactamente lo que estás haciendo ni 
borres las carpetas de los demás usuarios. Si haces eso, lo único 
que consigues es que tengamos que reparar el sistema servidor 
y, mientras tanto, ni tu ni nadie puede disfrutar de él :( 
Es una tontería intentar “romper” el Servidor, lo hemos puesto 
para que disfrute todo el mundo sin correr riesgos, para que todo 
el mundo pueda crearse su carpeta y practicar nuestros ejercicios. 
En el Servidor no hay ni Warez, ni Programas, ni claves, ni nada 
de nada que “robar”, es un servidor limpio para TL, por lo tanto 


cuídalo un poquito y montaremos muchos más :) 
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- Aprenderemos a manejar SOCHETS 


- Tocaremos algunos conceptos de TCP / IP 
- Programaremos un Servidor PHP 


Continuamos con el curso de PHP, en este 
número aprenderemos a manejar sockets. 
La programación de socket da mucho juego, 
pero es necesario conocer conceptos básicos 
de TCP/IP. Con socket se puede programar 
un servidor, un cliente telnet, un servidor de 
FTP, ... un sin fin de aplicaciones. Este capítulo 
es tal vez el más complejo ya que hace falta 
conocer TCP/IP y conocimientos de redes. 
Daremos varios ejemplos de cómo programar 
un servidor y un cliente. 


Un poco de culturilla sobre el 
origen de los sockets. 


No desesperes si no entiendes muchos de los 
conceptos que estás a punto de leer en esta 
introducción, ¿vale?, al final verás un cuadro 
de resumen con lo verdaderamente 
importante. 


Unix fue desarrollado a finales de los años 
sesenta y principios de los setenta, y se diseñó 
originalmente como un sistema orientado al 
proceso, en el que cada programa de 
aplicación se ejecuta como un proceso de 
nivel de usuario. Un programa de aplicación 
interactúa con el sistema operativo haciendo 
llamadas de sistema. 


Desde el punto de vista del programador, las 
llamadas de sistema se ven y comportan 
exactamente igual que las demás llamadas 
de procedimiento. Toman argumentos y 
devuelven uno o más resultados. Los 
argumentos pueden ser valores (por ejemplo, 
una operación de enteros) o punteros a 
objetos en el programa de aplicación (como 
un búfer que ha de ser llenado con 
caracteres). 


- Qué es un SOCKET 
- Programaremos un Chente en PHP 


Derivados de los Multics y los sistemas 
anteriores, los sistemas primitivos de entrada 
y salida de UNIX siguen un paradigma que 
algunas veces se denomina open-read-write- 
close. 


b Antes de que un proceso de usuario 
pueda ejecutar operaciones de E/S, 
llama a open para especificar el archivo 
o dispositivo que va a usar y obtiene el 
permiso. 

bLa llamada a open devuelve un 
pequeño entero descriptor de archivo, 
que el proceso utiliza cuando ejecuta 
las operaciones de E/S en el archivo o 
dispositivo abierto. 

b Una vez que se ha abierto un objeto, 
el proceso de usuario hace una o más 
llamadas a read o write para transferir 
datos. 

bRead transfiere datos dentro del 
proceso de usuario. 

b Write transfiere datos del proceso de 
usuario al archivo o dispositivo. 
bTanto read como write toman tres 
argumentos que especifican el descriptor 
de archivo que se ha de usar, la dirección 
de un búfer y el número de octetos que 
se han de transferir. 

bLuego de completar todas las 
operaciones de transferencia, el proceso 
de usuario llama a close para informar 
al sistema operativo que ha terminado 
de usar el objeto. 


Originalmente, los diseñadores de UNIX 
agruparon todas las operaciones de E/S en el 
paradigma open-read-write-close descrito 
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anteriormente. EL esquema incluyó E/S para 
los dispositivos orientados a caracteres (como 
los teclados) y para dispositivos orientados a 
bloques (como los discos y los archivos de 
datos). 


Una de las primeras implantaciones del TCP/IP 
bajo Unix también utilizó el paradigma open- 
read-write-close con un nombre de archivo 
especial, /dev/tcp 


El grupo que añadió los protocolos de red a 
BSD de UNIX decidió que, como los protocolos 
de la red eran más complejos que los 
dispositivos convencionales de E/S, la 
interacción entre los procesos del usuario y 
los protocolos de red debía ser más compleja 
que las interacciones entre los procesos de 
usuario y las instalaciones convencionales de 
E/S. 


En particular, la interfaz de protocolo de debía 
permitir a los programadores crear un código 
de servidor que esperase las conexiones 
pasivamente, así como también un código 
cliente que formara activamente las 
conexiones. 


Además, los programas de aplicación que 
mandaban datagramas podían especificar la 
dirección de destino junto con cada datagrama 
en lugar de destinos enlazados en el momento 
en que llamaban a open. 


Para manejar todos estos casos, los 
diseñadores eligieron abandonar el paradigma 
tradicional de UNIX open-read-write-close y 
añadir varias llamadas nuevas del sistema 
operativo, así como una nueva biblioteca de 
rutinas. 


Posteriormente surgió una mayor complejidad 
en la interfaz de protocolos de UNIX pues los 
diseñadores intentaron construir un mecanismo 
general para adaptar muchos protocolos. Por 
ejemplo, la generalidad hace posible, para el 
sistema operativo, incluir software para otros 
conjuntos de protocolos así como también 
TCP/IP y permitir que un programa de 
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aplicación utilice uno o más de ellos a la vez. 
Como consecuencia, el programa de aplicación 
no sólo puede proporcionar una dirección de 
32 bits y esperar a que el sistema operativo 
la interprete de manera correcta, la aplicación 
debe especificar explícitamente que el número 
de 32 bits representa una dirección IP. 


La base para la E/S de la red en BSD de UNIX 
se centra en una abstracción conocida como 
socket. Imagina el socket como una 
generalización del mecanismo de acceso a 
archivos de UNIX que proporciona un punto 
final para la comunicación. 


Al igual que con el acceso a archivos, los 
programas de aplicación requieren que el 
sistema operativo cree un socket cuando se 
necesita. El sistema devuelve un número 
entero pequeño que utiliza el programa de 
aplicación para hacer referencia al socket 
recientemente creado. 


La diferencia principal entre los descriptores 
de archivos y los descriptores de socket es el 
sistema operativo enlaza un descriptor de 
archivo a un archivo o dispositivo específico 
cuando la aplicación llama a open, pero puede 
crear sockets sin enlazarlos a direcciones de 
destino específicas. 


La aplicación puede elegir abastecer una 
dirección de destino cada vez que utiliza el 
socket (es decir, cuando se envían datagramas) 
o elegir enlazar la dirección de destino a un 
socket y evadir la especificación de destino 
repetidamente (es decir, cuando se hace una 
conexión TCP). 


CUADRO RESUMEN 


CUADRO DE RESUMEN: La manera de trabajar con socket es 
similar a los ficheros. Los socket nos permiten conectar con otras 
máquinas. Es importante saber que todos los servidores TCP/IP 
funcionan mediante socket, es decir, que si comprendes el 
paradigma socket estarás comprendiendo el verdadero corazón 
de todas las aplicaciones de Internet TCP/AIP (Telnet, FTP, email, 


'% 
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Todo eso está muy bien, ¿pero 
que es realmente un socket? 


La mayoría de las aplicaciones que funcionan 
en un entorno de red están formadas por dos 
elementos: el cliente y el servidor. Para 
poder enviar órdenes a un servidor que está 
atendiendo nuestras peticiones se utilizan los 
sockets. 


Para definir qué es un socket, pensemos en 
ello como una pequeña tubería por la que se 
pueden enviar datos. 


Como existen diferentes tipos de datos a 
enviar en función del servicio utilizado (Web, 
FTP, e-mail, Telnet...) existe una forma de 
definir qué “tubería” queremos utilizar: se 
define mediante un número que se denomina 
puerto. De esta forma se puede acceder a 
un servidor que mantenga activos diferentes 
servicios y, por lo tanto, se acceda a través 
de diferentes puertos a un servicio concreto. 


El paralelismo 


EL PARALELISMO: Tuberías de líquidos. 


Para quien todavía esté perdido entre palabras como cliente, 


servidor, sockets, puertos y servicios, vamos a hacer un paralelismo 


con la vida real. 


Imaginemos que una de esas “súper-multinacionales” (tan de 
moda hoy en día) monta una fábrica en Alemania que fabrica 
(sirve, servidor) unos 65.000 tipos de líquidos y otra en España 


que consume (cliente) esos líquidos. 


Como son muy “chulos” y no quieren depender de nadie, para 
trasladar los líquidos de Alemania a España montan tubería 
MUY MUY LARGA y MUY MUY GRUESA que va desde la fábrica 
de Alemania hasta la fábrica de España (pidiendo los permisos 


pertinentes a dichos países, claro ;) 


Imagina que desde Alemania quieren enviar a España gasolina 
y coca-cola. Tienen un problema: primero tendrán que enviar 
coca-cola, después limpiar la súper-tubería, enviar el gas-oil y 


volverla a limpiar porque mañana pueden querer enviar, vete a 
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saber, pesticida para los cultivos de arroz (no sería una buena 


idea juntar pesticida con coca-cola, ¿verdad?). 


Para solucionar el enorme gasto de tiempo y dinero que supone 
limpiar la súper-tubería cada vez que cambian de líquido, deciden 
meter dentro de la súper-tubería unas 65000 mangueras. Y deciden 
que, a partir de ahora, por la manguera 1 (puerto 1) enviarán 
gasolina, por la manguera 2 (puerto 2) coca-cola, por la manguera 
tres (puerto 3) acido acético y así hasta las 65000. 


Por otro lado, cada extremo de cada manguera se conecta a un 
grifo (socket). Es decir, la manguera 1 (puerto 1) tiene un extremo 
conectado a un grifo en Alemania (socket) y otro extremo conectado 


a un grifo (socket) en España. 


VAMOS A INTENTARLO!!! 

La fábrica alemana (servidor) quiere enviar a la fábrica Española 
(cliente) un líquido (datos) y para ello abre el grifo (socket) de 
la manguera 80 (puerto 80). El líquido (datos) pasa por la 
manguera 80 (puerto 80) y llega hasta el otro extremo, hasta el 


grifo (socket) que hay en España. 


Hemos dicho que cada manguera debía contener un producto, 
y en este caso los ejecutivos de la multinacional decidieron que 
“normalmente” (ya sabes que los ejecutivos pueden cambiar de 
opinión) por la manguera 80 (puerto 80) circulará liquido (datos) 
del tipo “agua mentolada” (Web). Por lo tanto, a eso lo llaman 


servicio de “agua mentolada” (servicio Web). 


La verdad es que se lo han montado muy bien, la fábrica alemana 
(servidor) puede servir a la fábrica Española (cliente) hasta 
65.000 tipos de líquidos (65000 servicios, Servicios Web, Servicios 
FTP, Servicios....). 


No quiero extenderme con el paralelismo porque hay pocas 
páginas en la revista, solo imagina que los ejecutivos se dan 
cuenta que los líquidos (datos) pueden ir tanto de Alemania a 
España como de España a Alemania (un cliente se puede 
transformar en servidor y un servidor en cliente). Además, los 
paralelismos son simples aproximaciones (a veces demasiado 
simples), a medida que aprendas sobre un tema tendrás que 


“adaptar” (y ampliar) este paralelismo. 


Hay dos tipos de estudiantes (y todos somos alumnos de la vida), 
los que simplemente acumulan datos (enciclopedias andantes) 
y los que transforman los datos en conocimiento (los que 


entienden)... ya sabes a quien va dirigida esta revista ;) 
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PHP proporciona acceso a lo que se denomina 
socket de Berkeley. Se trata, por lo tanto, de 
un conjunto de funciones (de nuevo una API) 
que permite establecer una comunicación 
con otro sistema que puede recibir y enviar 
información utilizando esta técnica. 


Un socket puede funcionar como servidor o 
como cliente (espero que después del 
paralelismo “Tuberías de líquidos” entiendas 
esta frase :) 


Un socket de servidor es un servicio al que 
se le ha asignado un puerto por el cual 
escucha y responde. Por ejemplo, si abres 
varios navegadores Web y visitas páginas 
diferentes, estarás abriendo varios socket 
diferentes y todo ellos tienen asignados el 
mismo puerto (puerto 80). Esto sería como 
una manguera que en su extremo tiene varios 
grifos ;) 


Los servidores de emails (POP3, SMTP) y 
servidores Web son buenos ejemplos de 
servidores sockets. El servidor HTTP (Web) 
escucha por el puerto 80 las solicitudes y 
responde con información HTML y otros 
ficheros (por ejemplo imágenesimagenes). 


Generalmente el socket servidor se encuentra 
continuamente funcionando, por lo general 
es un servicio de Windows o un demonio de 
Linux. 


Tipos de socket 


Si estás siguiendo el curso de TCP/IP ya 
sabrás que hay dos formas de enviar la 
información, por TCP y UDP, esto quiere decir 
que la información por Internet puede ser 
enviada por uno de estos dos protocolos. La 
información es dividida en paquetes y luego 
ensamblada en el destino. 


Si hay dos formas de enviar información, 
entonces PHP tiene que soportar la creación 
de sockets tanto TCP como UDP. 


¿Es importante saber esto de TCP y UDP?, si 
que lo es, ya que es necesario para saber 
como conectar con servidores y obtener 
información ....... 
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TCP (Transmission Control Protocol), la transmisión de los 
paquetes está numerada y es ensamblada en el destino 
siguiendo la numeración de los paquetes. Si un paquete 
falta se vuelve a solicitar. Es decir, TCP es un protocolo 
seguro que no permite perdida de datos. 

Ejemplos de protocolos TCP: HTTP, FTP, EMAIL, TELNET, 


UDP (User Datagram Protocol), este protocolo permite 
perder datos, si algún paquete se pierde no se vuelve a 
solicitar, se asume la perdida, ¿qué servicios pueden utilizar 
UDP?, pues por ejemplo los protocolos de video por Internet, 
de voz, música por Internet, donde no es crucial el 100% 
la calidad y donde se solicita información en tiempo real, 
lógicamente el UDP es más rápido que el TCP. 


PHP Socket 


PHP soporta el manejo de sockets a bajo nivel. En PHP3 
se introdujo manejar socket gracias a la función fosckopen() 
entre otras funciones asociadas. 


Las funciones socket en PHP están en fase experimental 
y aún pueden ser modificadas, pero lo cierto es que 
funcionan muy bien y se puede crear aplicaciones con 
estas funciones. 


Creando socket en PHP 


Programar socket en PHP es muy similar a cómo se 
programa con funciones en C. Vamos a comenzar con un 
simple ejemplo: un Servidor socket que escucha una 
conexión por el puerto 9000, acepta una cadena de texto 
como entrada y retorna la misma cadena de texto pero 
borrando los espacios en blanco. 


<?php 
// Tiempo ilimitado de ejecución, para que esté funcionando eternamente. 


set_time_limit (0); 


// La IP y el puerto por donde van a escuchar, recuerda que una misma 
// máquina puede tener varias IPs 

Saddress = “127.0.0.1”; 

3port = 9000; 


// Crea un socket TCP Stream 


3sock = socket_create(AF" INET, SOCK_STREAM, 0); 


// Se asocia el socket a la direccion IP y al puerto 
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socket_bind($sock, $address, $port) or die(*Error al asociar”); 
// Escucha por el socket 
socket_listen($sock); 


/* Se comunica que acepte la conexión */ 


$client = socket_accept($sock); 


// Lee 1024 caracteres de la conexión 


Sinput = socket_read($client, 1024); 


// Reemplaza los espacio en blanco 


Soutput = ereg replace("[ Wnlr]","", $input).chr(0); 


// Envía la cadena al cliente 


socket_write(S$client, $output); 


// Cierra la conexión 


socket_close(8client); 


// Cierra el socket 
socket_close($sock); 


?> 


Vamos a comentar el programa. Recuerda que el cometido 
del programa es hacer de servidor, de recibir un texto y 
luego devolverlo sin espacios en blanco (y todo ello en 
TCP). Un Servidor Web funciona de forma muy parecida, 
pero sirviendo páginas HTML, 


1.  —$sock = socket_create(AF_INET, SOCK_STREAM, 0); 


Se crea un socket que hará de servidor, para cliente ya lo 
veremos después. 
b AF_INET indica que el protocolo a aceptar será 
IPV4, usado tanto para TCP o UDP, 
b SOCK_STREAM indica que será un socket full duplex, 
aceptando peticiones de tipo streams. 
b Resumiendo: Con esta línea indicamos que se cree 
un socket en TCP. Si fuera UDP habría sustituir 
SOCK_STREAM por SOCK_DGRAM. 


Z. socket_bind($sock, $address, $port) or die('Error al 
asociar”); 


Una vez que ya está creado el socket es necesario asociarlo 
a una IP y aun puerto para que sepa por donde trabajar. 
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3.  socket_listen($sock); 


Escucha por el socket, es decir, va a esperar 
a que llegue información por el puerto 9000 
de la IP 127.0.0.1 


4.  $client = socket_accept($sock); 


Al ser TCP, el cliente solicita una conexión. 
Esta línea hace que el Servidor acepte la 
conexión, de esta forma podrá capturar la 
información procedente del cliente mediante 
el socket. 


5; $input = socket_read($client, 1024); 


Una vez que la conexión TCP ha sido aceptada 
se captura 1024 caracteres o hasta que se 
envíe un retorno de carro (pulsando la tecla 
Return) enviados por el cliente. 


6.  $output = ereg replace("[ AtnWr]","" $input).chr(0); 
La función ereg_replace ya se ha comentado 


en anteriores capítulos, en este ejemplo elimina 
los espacios en blanco. 


7.  socket_write($client, $output); 
Escribe el resultado en la conexión establecida, 


al cliente le llegará el texto enviado pero sin 
espacios. 


8. Socket close($cliente) y socket_close($sock) 


Cierra la conexión y el socket, para liberar 
recursos. 

Creando un servidor real 
Ahora que ya conocemos los conceptos básicos 
para trabajar con socket, vamos a crear un 


verdadero servidor. El anterior ejemplo tenía 
la limitación de que solo aceptaba una 
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conexión, es como si un Servidor Web solo aceptara una 
visita, lógicamente eso no puede decirse que sea un servidor 
de verdad. 


El siguiente ejemplo aceptará varias conexiones de varios 
clientes, ¡¡esto si que es un verdadero servidor!!. 


Para conseguir el que programa nunca termine y siempre 
acepte nuevas conexiones podemos usar while(true) € /* 
código */ >. 


El siguiente ejemplo es similar al anterior pero con algunas 
nuevas funcionalidades: 


b El programa no termina al aceptar una conexión. 
b Crea un sistema fácil para finalizar el servidor. 


b Acepta simultáneamente varios clientes. 


<?php 
// Tiempo de ejecución ilimitado 
set_time_limit (0); 


//1P y puerto de escucha 
Baddress = *127.0.0.1”; 
$port = 9000; 


$max_clients = 10; 


// Crea un array de clientes (para aceptar varias peticiones) 
$clients = Array(); 


// Crea un socket TCP 

$sock = socket_create(AF_INET, SOCK_STREAM, 0); 

// Asocia el socket al puerto y dirección 

socket_bind($sock, $address, $port) or die(*Error al asociar '); 
// Comienza a leer por el socket 


socket_listen($sock); 


// Ciclo infinito, para que no termine de aceptar peticiones 
while (true) 

// Inicia el array para aceptar conexiones 

$read[0] = $sock; 

for (31 =0; $í < $£max_clients; $1++) 


S 
1 


if (Sclient[$i]['sock'] != null) 
$read[$i + 1] = 8client[$i]["sock'] ; 


) 
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// Set up a blocking call to socket_select() 

$ready = socket_select($read, null, null null); 

/ Si hay una nueva conexión lo añade al array de conexiones */ 
if (in array($sock, $read)) f 

for (31 =0; $í < $£max_clients; $i++) 


S 
1] 


if (Sclient[$i]['sock'] == null) f 
$client[$i]['sock'] = socket_accept($sock); 
break; 

y 

elseif ($8 == $max_clients - 1) 

print ("Demasiados clientes") 


hi 


if (-$ready <= 0) 
continue; 
$ // Fin del array de clientes 


// Si el cliente está intentando leer le asocia un handle y lee el contenido 


for (81 =0; $í < $£max_clients; $i++) 


S 
i 


if (in array(8client[$i]['sock'] , $read)) 


S 
1 


$input = socket_read($client[$i]['sock'], 1024); 
if (Sinput == null) f 
// Si la longitud es cero desconecta 


unset($client[81]); 


7 


$n = trim($input); 

if (Sinput == 'exit!) f 

// Si se recibe la palabra exit se desconecta 
socket_close($client[$i]['sock']); 

) elseif (S$imput) [ 

// Elimina los espacios en blanco 

Soutput = ereg replace("[ Wnlr]","", $input).chr(0); 
socket_write(8client[$i]['sock'], $output); 


) 


jelsef 

// Cierra los socket 
socket_close(8$client[$i]['sock')); 
unset($client[81]); 

y 

/ 


socket_close($sock); 
»> 


La funcionalidad del programa es la misma del primer 
ejemplo, con algunas mejoras - cuando el cliente envía la 
palabra EXIT el servidor finaliza la conexión con ese usuario. 
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Un 


Sentrada .= "Connection: Closelrinirin"; 


El programa es muy similar al primero, excepto el bucle Bsalida ="; 


infinito y algunos bloques de código: echo "Enviando peticikoacute;n HTTP HEAD..."; 
1. Inicia un socket para cliente. socket_write($socket, $entrada, strlen(Sentrada)); 
2. Escucha a cada cliente y lo inicia en el array $client. echo "OK. In" 
3. Atiende a cada cliente, recibe y envía los datos. echo "Leyendo respuesta: Inn"; 
ms Un handle para cada cliente. while (8salida = socket_read($socket, 2048)) f 
Ejemplo de cliente Socket echo $salida; 

) 


Programar un cliente socket es mucho más sencillo que ¿ho "Cerrando socket...”: 

programar un servidor. El siguiente ejemplo se conecta a 

www.hackxcrack.com, envía una petición HEAD, imprime 

la respuesta y sale. echo "OK.Inin” 
?2> 


socket_close($socket); 


<?php 
error_reporting(E_ALL); // Imprime en pantalla los errores que ocurran Listado de funciones p rinci pa les para 
programar socket 


echo "<h2>Conexigoacute;n TCP/IP</h2>In 


/* Obtener el puerto para el servicio WWW. */ 
Acepta una conexión. Esta función es experimental, aún 


está en fase de desarrollo y puede variar en futuras 
versiones de PHP. 


$puerto_servicio = getservbyname('www”, 'tcp'); 


/* Obtener la direccion IP del host de destino. */ 


$direccion = gethostbyname('www.hackxcrack.com'); 


<?php 
38fd = socket_create(AF_INET, SOCK_STREAM, 6); 
/* Crear un socket TCP/IP. */ ¿PORT = 5000; 
$socket = socket_create(AF_INET, SOCK_STREAM, SOL_TCP); socket_bind(8$fd, "0.0.0.0", £PORT); 
if (Bsocket < 0) £ while(true) 
echo "socket_create() fallécoacute;: motivo: ". socket_strerror(8$socket) . "n"; d 
, $remote_fd = socket_accept($fd); 
remote_socket_client_handle($remote_fd); 
else f y ?> 
echo "OK. In”, 
/ 
echo "Intentando una conexid.oacute;n con '$direccion' en el puerto '$puerto_servicio"...”; Crea un socket y retorna un identificador del socket. 
$resultado = socket_connect(8socket, $direccion, $puerto_servicio); 
if (Sresultado < 0) f Domain toma los siguientes valores: 


echo "socket_connect() fall£coacute;.inMotivo: (S$resultado) " . Descripción 


socket_strerror($resultado) . "In"; AA INET Protocolo IPv4. TCP y UDP utilizan esta familia de protocolos. 


Protocolo Ipv6. TCP y UDP utilizan esta familia de protocolos. Solo disponible en PHP 
¡AF_INET6 
else f 


¡AF_UNIX Protocolo de comunicación local 
echo "OK. In"; 


Sentrada = "HEAD / HTTP/1.1nn"”; ISOCK_STREAM [Conexión segura y full duplex. Es el tipo utilizado por el protocolo TCP 
Sentrada .= "Host: www.hackxcrack.comirln"; |SOCK_DGRAM — [Suporta datagramas, conexión no segura. Es el tipo utilizado por el protocolo UDP 
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Protocol 


Internet Control Message Protocol es un protocolo principalmente utilizado por los 
¡Gateways y hosts para comprobar el estado de estos, generando reportes de errores. El 
Icomando PING es un ejemplo de ICMP 


Protocolo basado en datagramas. No es un protocolo seguro 


Protocolo basado en paquetes, full duplex y seguro. La mayoría de los servicios en internet 
uncionen con tcp 


Asocia un socket a un puerto y una dirección 
IP. La función es aún experimental por lo que 
puede sufrir modificaciones. 


Socket toma el valor del puntero que se a 
creado con la función socket_create(). El 
parámetro address es una dirección IP 
(ejemplo: 127.0.0.1). El parámetro port es 
solo usado cuando la conexión es de tipo 
AF_INET, y asigna el puerto al que se debe 
conectar la aplicación. 


Devuelve True si todo se llevó correctamente, 
FALSE en caso contrario. 


Después de que el socket haya sido creado 
con socket_create() y asociado a una IP/puerto 
con la función socket_bind(), se necesita que 
el socket esté escuchando esperando 
conexiones, para ello se utiliza la función 
socket_listen. 


La función socket_read() lee desde un socket 
creado con socket_create() o socket_accept(). 
El número máximo de bytes a leer es 
especificado por el parámetro length. 


Socket_read() retorna los datos como una 
cadena de texto, o texto si se ha producido 
un error. 

Es importante saber que socket_read() debe 
retornar una cadena de tamaño O para indicar 
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7 
10 
0 


En el próximo número: 

Programar socket te puede resultar algo 
complicado, la mejor manera de aprender es 
experimentando, juega con las funciones 
principales de sockets, observa los errores, 
crea servidores TCP y luego adáptalos a UDP. 
En el próximo número seguiremos con socket 
y comenzaremos a tratar fechas en PHP. 


David C.M 


En la editorial... 


En la editorial de la revista siguen llegando mails 
preguntando como se ejecuta el código PHP. Hemos 
dedicado números enteros a explicarlo, desde cómo 
montar el Servidor Apache hasta la implementación 
de PHP (pasando por todo tipo de configuraciones). 
Revisa los números anteriores y si te quedan dudas 


pregunta en el foro de hackxcrack 
(www.hackxcrack.com). 
PERSONADIZA TU MOVIL 


Escribe un mensaje con el texto : PCLOG + el código del 


logo ó melodia + la marca de tu móvil y envíalo al 7227 


1109 1211050 


121004 


E) 62067 Chihuahua 

d) 54259 Llorare las penas 
E) 54257 cuando tu vas 
d)) 54210 Fiesta pagana 
E) 51005 el exorcista 

C)) 54217 asereje 

E) 54222 Ave maria 

E) 68014 hala madrid 

E) 59468 Without Me 


mw 1100 


mos 120060 


http://pclog.buscalogos.com,/ 
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SUSCRIBETE A 
PC PASO A PASO 


SUSCRIPCIÓN POR: 
1AÑO 
11 NUMEROS 


Contra Reembolso 


Solo tienes que enviarnos un mail a preferente(Mhackxcrack.com 
indicando: 

- Nombre 

- Apellidos 

- Dirección Completa 

- Población 

- Provincia 

- Cógigo Postal 

- Mail de Contacto y/o Teléfono Contacto 

Es imprescindible que nos facilites un mail o teléfono de contacto. 
- Tipo de Subscripción: CONTRAREEMBOLSO 

- Número de Revista: 

Este será el número a partir del cual quieres subscribirte. Si deseas 
(por ejemplo) subscribirte a partir del número 5 (incluido), debes poner 
un 5 y te enviaremos desde el 5 hasta el 15 (ambos incluidos) 


APRECIACIONES: 

* Junto con el primer número recibirás el abono de 45 euros, precio 
de la subscripción por 11 números (un año) y una carta donde se te 
indicará tu número de Cliente Preferente y justificante/factura de la 
subscripción. 

* Puedes hacernos llegar estos datos POR MAIL,tal como te hemos 
indicado; rellenando el formulario de nuestra WEB 
(www.hackxcrack.com) o enviándonos una carta a la siguiente dirección: 
CALLE PERE MARTELL N*20, 22-1* 

CP 43001 TARRAGONA 

ESPAÑA 

* Cualquier consulta referente a las subscripciones puedes enviarla 
por mail a preferente(Mhackxcrack.com 


45 EUROS (10% DE DESCUENTO) 
+ 


SORTEO DE UNA CONSOLA XBOX 
+ 


SORTEO 2 JUEGOS PC (A ELEGIR) 


Giro Postal 


Envíanos un GIRO POSTAL por valor de 45 EUROS a: 

CALLE PERE MARTELL20, 2? 12. 

CP 43001 TARRAGONA 

ESPANA 

IMPORTANTE: En el TEXTO DEL GIRO escribe un mail de contacto 
o un número de Teléfono. 


Y enviarnos un mail a preferente(Mhackxcrack.com indicando: 
- Nombre 

- Apellidos 

- Dirección Completa 

- Población 

- Provincia 

- Cógigo Postal 

- Mail de Contacto y/o Teléfono Contacto 

Es imprescindible que nos facilites un mail o teléfono de contacto. 
- Tipo de Subscripción: GIRO POSTAL 

- Número de Revista: 

Este será el número a partir del cual quieres subscribirte. Si deseas 
(por ejemplo) subscribirte a partir del número 5 (incluido), debes poner 
un 5 y te enviaremos desde el 5 hasta el 15 (ambos incluidos) 


APRECIACIONES: 

* Junto con el primer número recibirás una carta donde se te indicará 
tu número de Cliente Preferente y justificante/factura de la subscripción. 
* Puedes hacernos llegar estos datos POR MAIL,tal como te hemos 
indicado; o enviándonos una carta a la siguiente dirección: 
CALLE PERE MARTELL N*20, 2%-18 

CP 43001 TARRAGONA 

ESPAÑA 

* Cualquier consulta referente a las subscripciones puedes enviarla 
por mail a preferente(Mhackxcrack.com 


IGUE LOS NUME 
ATRASADOS EN 


WWW.HACKXCRACK, 


NES E 
3 + TOR Al. DESBCIMMERTO: 
E SOFTWARE 
GRATIS 


WERSUS PORT MODE 


NUMERO(1: NUMERO 2: 
-CODE/DECODE BUG: INTRODUCCIÓN. 

-CREA TU PRIMER TROYANO -CODE/DECODE BUG: LOCALIZACIÓN DEL OBJETIVO. 
INDETECTABLE POR LOS ANTIVIRUS. -CODE/DECODE BUG: LÍNEA DE COMANDOS. 
-FLASHEXP: SIN LÍMITE DE VELOCIDAD. -CODE/DECODE BUG: SUBIENDO ARCHIVOS AL SERVIDOR REMOTO. 
-FTP SIN SECRETOS: PASVMODE. -“OCULTACIÓN DE IP: PRIMEROS PASOS. 
-PORT MODE/PASV MODE Y LOS FIREWALL: LA UTILIDAD DE LO APRENDIDO. -LA FLECHAACIDA: LA SS DIGITAL. 
-TCP-IP:INICIACIÓN (PARTE 1). AZNAR AL FRENTE DE LA SS DEL SIGLO XXI. 
-EL MEJOR GRUPO DE SERVIDORES FTP DE HABLA HISPANA. 
-EDONKEY 2000 Y SPANISHARE. 
-LA FLECHA ÁCIDA. 


HACK X CRACK: CCPROXY — UTILIZA A TUS VÍCTIMAS 111 


El Llao, 


HACK X CRACK - HACK X CRACK - HACK XK CRACK 


NÚMERO 3: 


-PROXY: OCULTANDO NUESTRA IP. 
ASUMIENDO CONCEPTOS. 
-PROXY: OCULTANDO NUESTRA IP. 
ENCADENANDO PROXIES. NÚMERO 7: 
-PROXY: OCULTANDO NUESTRA IP. =- PROTOCOLOS: POP3 
OCULTANDO TODOS NUESTROS PROGRAMAS TRAS LAS - PASA TUS PELICULAS A DIVX III (EL AUDIO 
CADENAS DE PROXIES. - PASA TUS PELICULAS A DIVX IV a Rd 


El : - CURSO DE VISUAL BASIC: LA CA! 
a ON MELO res - IPHXC: EL TERCER TROYANO DE HXC Il 


-PRÁCTICA 1*: SUBIENDO UN ARCHIVO A NUESTRO SERVIDOR. - APACHE U TROYANO De BS A E AER de 


-PRÁCTICA 22: MONTANDO UN DUMP CON EL SERV-U. - TRASTEANDO CON EL HARDWARE DE UNA MAN 
-PRÁCTICA 3%: CODE/DECODE BUG. LÍNEA DE COMANDOS. 
-PREGUNTAS Y DUDAS. 


EH 


Es Li 


o a DE ARP 


-INTRU on hi REDES 
DE AREA LOCAL... 


NUMERO 11: 

- Curso de linux: programacion 

- Visual Basic: 11S bug exploit 

- Apache como proxy 

- Serie Raw: FTP 

- Validacion XML: DTD 

- Historia: Lady Augusta Ada Byron 


MACH X CRACK; "PORT SCAMMING” — ARREMOS A EBCAMEAR LA MED 


NUMERO 13: 

- Curso de linux: programacion C(II). 

- Visual Basic:Nuestro primer proyecto. 

- APACHE: Configuralo de forma segura. 
- Serie Raw: HTTP. 

- CURSO XML: DOM. 


MACK X CRACK: MACKEAMDO SERVIDORES WINDOWS EM 40 SEDUMDOS :) 


NUMERO 17: 

- Programación bajo linux: El sistema IPC(I1) 

- Curso de TCP/IP 

- XBOX (111): Cambia el disco duro de tu XBOX 
- Hackea Windows en 40 segundos 

- Curso de PHP: Cadenas de texto 


AENA ATRAVESANDO FIA OA FTP 


LOS Lrurd 


NA “EXPLOTANDO” 
LOS SERVIDORES FTP 


ONLINE PARA TUS 
5 


PRACTICAS !Il tacna 


COMPRA YA FTP BOP 
DIVA NILO PORT STEAM O 


NUMERO 12: 

- Curso de linux: programacion C. 

- Visual Basic: 11S bug exploit. Nuestro primer Scanner. 
- APACHE: Configuralo de forma segura. 


- Serie Raw: FTP(I1) 
- VALIDACION XML: DTD (11) 


HACK X CRACK: CREA COM MOBOTROS UM AEMERADOR DE PD Em PA 
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NÚMERO 15 


- CURSO DE PHP (1) 
- Xbox. Instalar Linux 
- SERIE RAW (9): MSN 
- CURSO VISUAL BASIC: UN CLIENTE, 
UNA NECESIDAD(I!!). 
- PROGRAMACION BAJO LINUX: LENGUAJE C(l1!) 
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Video Magic Series 


VM-101 


High Tower Series 


HT-101 


UV active!! 


AMD: Athlon XP 3600+ and higher 
INTEL: P4 Socket 478, 3.6Ghz and higher 


Tube -100 mm, 36+ fins - dia. S6mm 
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Create your own cases 
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Be Cool! Be Azrocool! 
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Titanium conting W/blue acrylic 


Hard Beat Series 


BT-101 


1 Fan solution 


AMD: Athlon XP 3600+ and higher 
INTEL: P4 Socket 478, 3.6Ghz and higher 


2 Fan solution 


Tube -100 mm, 36+ fins - dia. S6mm 


WWvw.amen.es 


DOMINIOS | CORREO PERSONALIZADO | ALOJAMIENTO | CREACION DE PAGINAS | E-COMMERCE | SERVIDORES DEDICADOS 


WEB SITE CREATOR 


Cree su propia web fácilmente y sin conocimientos previos. 
7 sencillos pasos para construir tu propia página web con una calidad profesional. 
A través de una sencilla interfaz web, podrás crear, editar y actualizar su página 


con total autonomía, pudiendo usar las miles de combinaciones posibles. 


PACK WEB DOMINIO 


* Dominio propio: .com, .net, .org, .info, .biz.... + Servicio DNS 

* Redireccionamiento web - Subdominios ilimitados 
* Emails ¡limitados (alias) 

- Panel de control online 


PACK WEB MAIL 


* Dominio propio: .com, .net, .org, .info, biz... + Servicio DNS 
* Redireccionamiento web transparente * Subdominios ilimitados 
* Redireccionamiento correos ilimitados - 10 correos personalizados 


- Contestador, webmail 
* Lista de correos 


PACK WEB PRO 


- Dominio propio: .com, .net, .org, .info, biz... +10 correos personalizados 

* Alojamiento 100 Mb. (ext. a 1 Gb.) - Subdominios ilimitados 

* Redireccionamiento correos ilimitados - PHP4, 2 bases MySQL, Perl 5 

- FTP/CGI privados, Lista de correos, Webmail - Tráfico ilimitado 

* Estadísticas, .. 

PACK SERVIDOR PRIVADO | 1 binuxo 2 Windows 
* Alojamiento 300 Mb. (ext. a 1,5 Gb.) * Cuentas correos ilimitadas 

- Multi-dominios -20 aplicaciones preinstaladas 

- FTP/CGI privados, Lista de correos, Webmail -PHP4, 10 bases MySQL, Perl 5 

- Acceso SSH - Tráfico ilimitado 


- Estadísticas detalladas... 


Con más de 40.000 páginas alojadas y 140.000 nombres de dominio gestionados, Amen es uno de los líderes europeos en la 
prestación de servicios de presencia en internet. Gracias a una innovación permanente, y una relación calidad/precio inmejorable, 
un servicio al cliente atento, una asistencia técnica eficaz 7/7... Amen te aporta las soluciones adaptadas a todas sus necesidades. 


902 165 902 www.amen.es YN 
amen 


IN WEB WE TRUST 


* Lea las condiciones generales de venta en www.amen.es. Precio sin IVA al 1/3/2004, taritas mensuales de referencia para contrato anual. Información válida salvo error tipográfico 


